Τις τελευταίες μέρες διεξάγεται μια νέα επίθεση που καταχράται τις ρυθμίσεις DNS των routers. Έπειτα, οι web browsers εμφανίζουν ειδοποιήσεις για μια ψεύτικη εφαρμογή πληροφόρησης για τον COVID-19. Η εφαρμογή υποτίθεται ότι προέρχεται από τον Παγκόσμιο Οργανισμό Υγείας. Στην πραγματικότητα, δεν υπάρχει εφαρμογή, αλλά το κακόβουλο λογισμικό Oski που κλέβει πληροφορίες.
Τις τελευταίες πέντε ημέρες, οι άνθρωποι αναφέρουν ότι ο web browser ανοίγει από μόνος του και εμφανίζει ένα μήνυμα που τους ζητάει να κατεβάσουν ένα «COVID-19 Inform App» του Παγκόσμιου Οργανισμού Υγείας.
Περαιτέρω έρευνα έδειξε ότι αυτές οι ειδοποιήσεις προκλήθηκαν από μια επίθεση που άλλαξε τους DNS servers σε οικιακά D-Link ή Linksys routers.
Καθώς οι περισσότεροι υπολογιστές χρησιμοποιούν τη διεύθυνση IP και τις πληροφορίες DNS που παρέχει το router τους, οι κακόβουλοι DNS servers ανακατευθύνουν τα θύματα σε κακόβουλο περιεχόμενο, που βρίσκεται υπό τον έλεγχο του εισβολέα.
Πώς γίνεται η κατάχρηση των ρυθμίσεων DNS;
Αυτή τη στιγμή δεν είναι γνωστό πώς οι επιτιθέμενοι αποκτούν πρόσβαση στα routers για να αλλάξουν τη διαμόρφωση DNS, αλλά ορισμένοι χρήστες δηλώνουν ότι μπορεί να έγινε λόγω της ενεργοποιημένης απομακρυσμένης πρόσβασης ή των αδύναμων κωδικών πρόσβασης.
Από τη στιγμή που οι hackers αποκτούν πρόσβαση αλλάζουν τις ρυθμίσεις, επηρεάζοντας τους υπολογιστές που συνδέονται στο router.
Όταν ένας υπολογιστής συνδέεται σε ένα δίκτυο, η Microsoft χρησιμοποιεί μια λειτουργία που ονομάζεται «Network Connectivity Status Indicator (NCSI)», η οποία τρέχει περιοδικά κάποιους ανιχνευτές που ελέγχουν αν ένας υπολογιστής είναι ενεργά συνδεδεμένος στο Internet.
Στα Windows 10, ένας από αυτούς τους ενεργούς ανιχνευτές συνδέεται στο http://www.msftconnecttest.com/connecttest.txt site και ελέγχει αν το περιεχόμενο που επιστρέφεται περιέχει τη συμβολοσειρά “Test Microsoft Connect”.
Εάν συμβαίνει αυτό, τότε ο υπολογιστής είναι συνδεδεμένος στο Internet. Αν δεν είναι, τα Windows προειδοποιούν ότι το Διαδίκτυο δεν είναι προσβάσιμο.
Όταν τα Windows εκτελούν αυτόν τον ανιχνευτή NCSI, τα θύματα αυτής της επίθεσης δεν συνδέονται με τη νόμιμη 13.107.4.52 Microsoft IP διεύθυνση. Οι κακόβουλοι DNS servers τούς στέλνουν σε ένα website που βρίσκεται στο 176.113.81.159.
Αυτή η διεύθυνση IP βρίσκεται υπό τον έλεγχο του εισβολέα, και αντί να στείλει πίσω ένα απλό αρχείο κειμένου, εμφανίζει μια σελίδα που ζητά από το θύμα να κατεβάσει και να εγκαταστήσει μια ψεύτικη εφαρμογή του ΠΟΥ με πληροφορίες για τον κορωνοϊό (‘Emergency – COVID-19 Informator’ ή ‘COVID-19 Inform App’).
Εάν ένας χρήστης κατεβάσει και εγκαταστήσει την COVID-19 εφαρμογή, θα εγκαταστήσει στον υπολογιστή του το Oski trojan.
Στη συνέχεια, το κακόβουλο λογισμικό θα επιχειρήσει να κλέψει τις ακόλουθες πληροφορίες:
- cookies του προγράμματος περιήγησης
- ιστορικό του προγράμματος περιήγησης
- cryptocurrency wallets
- αποθηκευμένα credentials
- αρχεία κειμένου
- 2FA authenticator databases
- screenshot της επιφάνειας εργασίας σας κατά τη στιγμή της μόλυνσης
- άλλα στοιχεία
Αυτές οι πληροφορίες μεταφορτώνονται στη συνέχεια σε έναν απομακρυσμένο server, που ελέγχουν οι hackers. Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τα δεδομένα για να πραγματοποιήσουν άλλες επιθέσεις σε online λογαριασμούς (κλοπή χρημάτων από τραπεζικούς λογαριασμούς, κλοπή ταυτότητας ή περαιτέρω phishing επιθέσεις).
Τι πρέπει να κάνετε σε περίπτωση που πέσετε θύμα αυτής της επίθεσης;
Εάν ο browser σας ανοίγει τυχαία σε μια σελίδα που προωθεί μια εφαρμογή πληροφοριών για τον κορωνοϊό (COVID-19), τότε πρέπει να συνδεθείτε στο router σας και να βεβαιωθείτε ότι λαμβάνει DNS servers από τον ISP σας.
Κάθε router έχει διαφορετικό τρόπο διαμόρφωσης των DNS servers.
Σε γενικές γραμμές, όμως, μπορείτε να ακολουθήσετε τα παρακάτω βήματα:
- Συνδεθείτε στο router σας
- Βρείτε τις ρυθμίσεις DNS και βεβαιωθείτε ότι δεν υπάρχουν servers, ειδικά 109.234.35.230 και 94.103.82.249, διαμορφωμένοι με μη αυτόματο τρόπο. Εάν υπάρχουν, ορίστε τη ρύθμιση DNS servers σε “Αυτόματη” ή από τον ISP.
- Στη συνέχεια, αποθηκεύστε τις ρυθμίσεις.
- Κάντε επανεκκίνηση σε όλες τις κινητές συσκευές, τις κονσόλες παιχνιδιών και τους υπολογιστές, ώστε να είστε σίγουροι ότι χρησιμοποιούν τις σωστές ρυθμίσεις DNS από τον ISP σας.
Καθώς οι χρήστες αναφέρουν ότι οι ρυθμίσεις τους άλλαξαν λόγω αδύναμου κωδικού πρόσβασης και ενεργοποιημένης απομακρυσμένης διαχείρισης, είναι σημαντικό να αλλάξετε τον κωδικό πρόσβασής σας και να απενεργοποιήσετε την απομακρυσμένη διαχείριση στα routers.
Τέλος, εάν κατεβάσατε και εγκαταστήσατε την ψεύτικη εφαρμογή, θα πρέπει να σαρώσετε αμέσως τον υπολογιστή σας για κακόβουλο λογισμικό.
Μετά, θα πρέπει να αλλάξετε όλους τους κωδικούς πρόσβασης, που χρησιμοποιείτε σε sites και λογαριασμούς. Επιλέξτε μεγάλους και ισχυρούς κωδικούς.
