Eine verbesserte Variante der DNSChanger-Malware befällt Windows-Desktops und Android-Geräte und zielt auf Sicherheitslücken in Heimroutern von Anwendern.
Zur Malware DNS-Changer hatte ich ja mehrere Blog-Beiträge in den letzten Jahren veröffentlicht. Die Malware versucht, die DNS-Einträge verwundbarer Heimrouter zu manipulieren, um den Traffic über eigene Seiten zu leiten. Vermutlich sollen damit Werbeeinnahmen auf diesen Seiten generiert werden.
Bereits Mitte Dezember wiesen die Sicherheitsforscher von Proofpoint in diesem Artikel auf eine Zunahme von Angriffen über modifizierte DNSChanger-Varianten hin. Zitat aus dem Artikel:
Seit Oktober erleben wir eine verbesserte Version des „DNSChanger-EK“ [1], das bei den noch laufenden Malvertising-Kampagnen verwendet wird. DNSChanger greift Internetrouter über die Webbrowser potenzieller Opfer an; das EK nutzt dabei nicht Schwachstellen des Browsers oder des Gerätes aus, sondern die in den Heim- und Small-Office-Routern (SOHO). Am häufigsten funktioniert DNSChanger über den Chrome-Browser auf Windows-Desktops und Android-Geräten. Sobald die Router befallen sind, werden alle Anwender, die mit dem Router verbunden sind, durch Angriffe und weiteres Malvertising gefährdet, unabhängig von ihrem ausgeführten Betriebssystem oder Browser.
Die Angriffe erfolgen über legitime Webseiten, auf denen bösartige Werbung ausgeliefert wird. Dabei prüft der DNSChanger-Exploit Kit per Browser, ob der Router angreifbar ist. Trifft dies zu, wird die Werbung mit der Schadsoftware ausgeliefert. Ziel der Angreifer ist es, über den Browser Sicherheitslücken in den verwendeten Heimroutern aufzuspüren und deren DNS-Einträge zu verändern.
Gelingt dies, können die Angreifer wohl das Verhalten der Zielseite und auch die ausgelieferte Werbung verändern. So lassen sich Popups einblenden als auch Werbung austauschen. Proofpoint schreibt, das man keine Liste der angreifbaren Router verfügbar habe, aber folgende Router als infizierbar betrachtet:
- D-Link DSL-2740R
- COMTREND ADSL Router CT-5367 C01_R12
- NetGear WNDR3400v3 (und vermutlich andere Modelle dieser Reihe)
- Pirelli ADSL2/2+ Wireless Router P.DGA4001N
- Netgear R6200
Proofpoint schlägt vor, die Fernwartungsfunktion der Soho-Router abzuschalten, um die Angreifbarkeit zu reduzieren. Weitere Details finden sich in diesem Artikel. (via)
Ähnliche Artikel:
Insides: DNSUnlocker-Malware nutzt Windows-Fehler
DNS-Changer Malware bedroht 20.000 deutsche Internet-Nutzer
Malware Trojan.DNSChanger umgeht Powershell-Restrictionen
Mal wieder die Schmutzfinke von D-Link und Netgear dabei. War ja klar. Das ist echt billigste Chinaware für die Tonne!