Хакеры захватывают DNS маршрутизаторов для доставки поддельного приложения COVID-19

Хакеры используют страх перед текущей вспышкой коронавируса (COVID-19) в качестве приманки для кибератак, будь то использование карт коронавируса для кражи пользовательской информации, или поддельное приложение для отслеживания коронавируса, которое блокирует устройства Android, или вредоносное приложение для Android, обещающее получить маску для защиты от коронавируса, или сообщенная попытка взлома Всемирной организации здравоохранения (ВОЗ).

В недавно обнаруженной кампании кибератак исследователи выяснили, что хакеры, как сообщается, захватывают настройки DNS маршрутизатора, чтобы веб-браузеры отображали поддельные уведомления о COVID-19 от ВОЗ и перенаправляли пользователей компьютеров с Windows на вредоносный контент.

Согласно BleepingComputer, жертвы кампании стали свидетелями того, как их веб-браузеры автоматически открывались и отображали сообщение, которое инструктировало их скачать “Экстренный – COVID-19 Информатор“ или “COVID-19 Информ Приложение”, якобы от ВОЗ. На самом деле, мошенническое приложение является вредоносным ПО, крадущим информацию, под названием Oksi.

При дальнейшем расследовании было установлено, что эти уведомления были результатом кибератаки, которая изменила DNS-серверы, настроенные на домашних маршрутизаторах D-Link или Linksys жертвы, чтобы использовать DNS-серверы, управляемые злоумышленниками.

Поскольку большинство компьютеров используют IP-адрес и информацию DNS, предоставляемую их маршрутизатором, вредоносные DNS-серверы перенаправили жертв на вредоносный контент под контролем злоумышленников, согласно экспертам.

Для тех, кто не в курсе, Oksi способен красть данные на основе браузера — включая куки, интернет-историю и платежную информацию — а также сохраненные учетные данные для входа, криптовалютные кошельки, текстовые файлы, информацию автозаполнения форм браузера и базы данных аутентификаторов Authy 2FA.

Пока неясно, как злоумышленники получили доступ к затронутым маршрутизаторам, но некоторые пользователи утверждают, что оставили свои возможности удаленного доступа открытыми с слабым паролем администратора.

“Эта атака подчеркивает необходимость для людей убедиться, что они изменили имя пользователя/пароль по умолчанию для своего домашнего маршрутизатора, так как ряд затронутых пользователей признались, что у них была слабая или стандартная комбинация,” сказал Лоренс Питт, директор по глобальной стратегии безопасности в Juniper Networks. “Большинство интернет-провайдеров сегодня предоставляют маршрутизаторы с приемлемой стандартной настройкой безопасности. Похоже, что эта атака нацелена на определенный бренд маршрутизатора, [что] также указывает на то, что пользователи оставили стандартную комбинацию администратора/пароля для доступа к устройству.”

Согласно BleepingComputer, когда компьютер подключается к сети, Microsoft использует функцию под названием “Индикатор состояния сетевой связи (NCSI)” для проверки подключения к интернету.

В этом случае, вместо подключения к законному IP-адресу Microsoft, вредоносные DNS-серверы перенаправляют пользователя на сайт, контролируемый хакерами, который отображает уведомление о загрузке и установке поддельного “Экстренного – COVID-19 Информатора” или “COVID-19 Информ Приложения” от ВОЗ.

Если пользователь загружает и устанавливает приложение, вместо получения приложения с информацией о COVID-19, на его компьютер будет установлено вредоносное ПО Oski, крадущее информацию.

При запуске это вредоносное ПО попытается украсть информацию, такую как куки браузера, интернет-историю браузера, платежную информацию браузера, сохраненные учетные данные для входа, криптовалютные кошельки, текстовые файлы, информацию автозаполнения форм браузера, базы данных аутентификаторов Authy 2FA, скриншот рабочего стола пользователя в момент заражения и многое другое.

Эта украденная информация затем загружается на удаленный сервер, где злоумышленники собирают данные для дальнейших атак на онлайн-аккаунты жертвы, чтобы украсть деньги с банковских счетов, совершить кражу личности или провести дальнейшие атаки с использованием фишинга.

Если ваш браузер случайным образом открывает страницу с рекламой приложения с информацией о COVID-19, убедитесь, что вы перенастроили свой маршрутизатор так, чтобы он мог автоматически получать свои DNS-серверы от вашего интернет-провайдера. Также рекомендуется сбросить свой пароль на более надежный и отключить удаленное администрирование на маршрутизаторе.

Для тех, кто загрузил и установил приложение COVID-19, немедленно выполните сканирование на наличие вредоносного ПО на вашем компьютере. После очистки убедитесь, что вы изменили пароли для всех сайтов, учетные данные которых сохранены в вашем браузере, а также для сайтов, которые вы посещали после заражения. Самое главное, убедитесь, что вы используете уникальный пароль на каждом сайте при сбросе ваших паролей.