Pagina inicial » Internet » DNSChanger - Malware que segmenta seus roteadores por meio do navegador da web

    DNSChanger - Malware que segmenta seus roteadores por meio do navegador da web

    O malware que atinge os computadores é bastante comum, mas malware que segmenta roteadores é uma coisa completamente diferente. Pesquisadores da firma de segurança Proofpoint descobriram que a maneira como opera é semelhante à recente Malware Stegano descoberto.

    O malware é chamado DNSChanger, e se espalha via anúncios com malwares que são servidos por grandes redes de anúncios. DNSChanger primeiro verifique o endereço IP do visitante para ver se ele está dentro do intervalo. Se o endereço não está dentro da faixa alvo, DNSChanger será configurar anúncios de chamariz limpos.

    Por outro lado, se o endereço estiver dentro de um intervalo, o malware publicar um anúncio falso que oculta o código de exploração nos metadados de uma imagem PNG.

    Uma vez que o código malicioso consegue infiltrar-se no PC do alvo, ele causa o destino para se conectar a uma página que hospeda o DNSChanger. O site realizará outra verificação para garantir que o endereço IP do alvo esteja dentro do intervalo desejado e, quando for confirmado, o site exibir uma segunda imagem que contenha o código de exploração.

    O que acontece a seguir depende do modelo do roteador que o DNSChanger está atacando. Se o modelo de roteador tem explorações conhecidas, o DNSChanger utilizar essas explorações para modificar as entradas de DNS no roteador. Quando possivel, disponibilizar portas de administração de endereços externos.

    Se o roteador tiver nenhuma façanha conhecida, DNSChanger tentaria usar credenciais padrão para obter acesso ao roteador. Se o roteador tiver nenhuma façanha conhecida e nenhuma senha conhecida, o malware então abandonar o ataque.

    Assumindo que consegue obter acesso ao roteador, o DNSChanger é capaz de forçar computadores conectados a se conectarem a sites impostores que são visualmente idênticos aos reais.

    Proofpoint descobriu que o malware parece ser falsificação de endereços IP a fim de desviar o tráfego das agências de publicidade em favor de redes de anúncios conhecidas como Fogzy e TrafficBroker.

    No momento, a Proofpoint mencionou que é impossível nomear todos os roteadores que são suscetíveis ao DNSChanger. No entanto, o Proofpoint informou os cinco modelos de roteadores que podem ser comprometidos por esse malware específico.

    Para se proteger do DNSChanger, a Proofpoint recomendou que seus roteadores são atualizados para o firmware mais recente disponível e é protegido com um longo, senha gerada aleatoriamente. Além disso, desabilitando a administração remota e alterar o endereço IP local padrão do roteador é uma medida preventiva eficaz.