I ricercatori Proofpoint hanno scoperto un nuovo exploit che utilizza un kit aggiornato di DNSChanger EK e si diffonde in ambienti Windows ed Android tramite campagne di malvertising.
Il malware lavora tramite Chrome sia in Windows che Android e prende di mira ed attacca il router casalingo, usando una lista di credenziali di accesso (quelle più in uso ed impostate di fabbrica), una volta che il router è compromesso sostituisce i DNS in uso e cerca di espandersi tentando di infettare tutti gli utenti connessi al medesimo dispositivo.
In alcuni casi, l’exploit apre specifiche porte amministrative nel router in maniera che siano accessibili dall’esterno, permettendo di creare ulteriori danni.
Inoltre sembra che molte agenzie conosciute come outbrain, popcash ecc siano state vittima di queste campagne di malvertising. I modem router vulnerabili a questo tipo di attacco sono:
- D-Link DSL-2740R
- COMTREND ADSL Router CT-5367 C01_R12
- NetGear WNDR3400v3 (and likely other models in this series)
- Pirelli ADSL2/2+ Wireless Router P.DGA4001N
- Netgear R6200
Com’è noto, il Pirelli è tra i maggiormente usati in connessioni casalinghe da parte di Telecom, il NetGear R6200 soffre già di una vulnerabilità che abbiamo riportato in questo post. Anche in questo caso ritornano utili le indicazioni di questo post, per mettere in “sicurezza” o almeno rendere più difficile l’accesso o l’infezione dei nostri modem-router o dispositivi IoT. Ulteriori informazioni e spiegazioni tecniche è possibile trovarle nel sito stesso dei ricercatori, scopritori di questo exploit
Home Routers Under Attack via Malvertising on Windows, Android Devices | Proofpoint