Набор эксплоитов DNSChanger заражает маршрутизаторы вместо браузеров
Злоумышленники распространяют набор эксплоитов с помощью вредоносной рекламы.
Исследователи компании Proofpoint сообщили о новой кампании по распространению набора эксплоитов DNSChanger. Примечательно, данный набор инфицирует вредоносным ПО не браузеры, а маршрутизаторы с целью внедрить рекламу в каждый посещаемый пользователями сайт.
Киберпреступники придерживаются следующей схемы. Для начала они покупают рекламу на легитимных сайтах. Далее в рекламу внедряется вредоносный JavaScript-код, подключающийся с помощью запросов WebRTC к серверу Mozilla STUN для определения локального IP-адреса жертвы. На основании полученных данных код определяет, находится ли пользователь в локальной сети, управляемой домашним маршрутизатором. Если да, атака продолжается, если нет – пользователю выводится обыкновенная реклама.
Жертве отображается реклама, перенаправляющая ее на набор эксплоитов DNSChanger. Далее злоумышленники отправляют браузеру изображение со спрятанным в нем при помощи стеганографии ключом шифрования. Данный ключ затем используется для расшифровки трафика, генерируемого DNSChanger.
Как пояснили эксперты, вредоносная кампания нацелена по крайней мере на 166 моделей маршрутизаторов.
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!