Ein neuer Malware-Angriff zielt auf Heimrouter ab, indem er eine Webseite mit Bezug zu COVID-19 ausnutzt. Über 1000 Benutzer in zwei Tagen betroffen, die Malware mit Coronavirus-Thema hat sich im März verfünffacht: Tipps zur Verteidigung.
Forscher von Bitdefender haben kürzlich einen neuen Angriff entdeckt, der Heimrouter ins Visier nimmt und deren DNS-Einstellungen ändert. Hacker treffen mit Brute-Force-Angriffen die Anmeldedaten der Routerverwaltung. Sie ändern die DNS-Einstellungen und Linksys und leiten Benutzer zu einer COVID-19-bezogenen Webseite, die Malware verteilt (Oski Inforstealer). Um den Link zum Bitbucket-Repository, das die Malware hostet, zu verbergen, wird der TinyURL-Dienst verwendet.
Der Angriff ist neu, begann am 18. März und missbraucht einen URL-Verkürzungsdienst, um den Link zur Payload zu verschleiern, sowie Bitbucket (ein legitimes Code-Repository), um die schädlichen Payloads zu hosten.
„COVID-19 ist leider ein wiederkehrendes Thema, das Cyberkriminelle ausnutzen, um Opfer in die Falle zu locken“, sagte Liviu Arsene, Senior Cybersecurity Researcher bei Bitdefender. „Die Meldungen über Malware im Zusammenhang mit dem Coronavirus haben sich im März verfünffachtmit skrupellosen Angreifern, die Phishing-Betrügereien nutzen und dabei falsche Informationen über das Coronavirus und die Angst vor Engpässen bei medizinischem Bedarf ausnutzen.“
Wie der Coronavirus-Malware-Angriff funktioniert
Es ist nicht ungewöhnlich, dass Hacker Nachrichten von großem Interesse für die Bevölkerung, wie die aktuelle Pandemie, nutzen, um die Aufmerksamkeit der Benutzer zu erregen und Phishing-E-Mails mit infizierten Anhängen zu versenden; diese neue Art von Angriff, die Heimrouter betrifft, bestätigt diesen Trend.
Die Angreifer haben das Internet nach anfälligen Routern durchsucht, konnten diese erfolgreich eindringen – potenziell durch Brute-Force-Angriffe auf Passwörter – und ihre IP-DNS-Einstellungen ändern. DNS-Einstellungen sind sehr wichtig, da sie wie ein Telefonbuch funktionieren. Jedes Mal, wenn Benutzer den Namen einer Webseite eingeben, können DNS-Dienste sie zur entsprechenden IP-Adresse weiterleiten, die diesen bestimmten Domainnamen bedient. Kurz gesagt, DNS funktioniert mehr oder weniger wie das Adressbuch eines Smartphones: Jedes Mal, wenn Sie jemanden anrufen möchten, müssen Sie nur nach seinem Namen suchen, anstatt sich seine Telefonnummer merken zu müssen.
Sobald die Hacker die DNS-IP-Adressen geändert haben, können sie Benutzer zu von ihnen kontrollierten Webseiten umleiten, ohne dass es jemand merkt.
Nachfolgend finden Sie eine Liste einiger der Domains, die umgeleitet werden:
- „aws.amazon.com“
- „goo.gl“
- „bit.ly“
- „washington.edu“
- „imageshack.us“
- „ufl.edu“
- „disney.com“
Wenn Benutzer versuchen, auf eine der oben genannten Domains zuzugreifen, werden sie tatsächlich zu einer IP-Adresse weitergeleitet, auf der eine scheinbar von der Weltgesundheitsorganisation stammende Nachricht angezeigt wird, die die Benutzer auffordert, eine Anwendung herunterzuladen und zu installieren, die Anweisungen und Informationen zu COVID-19 enthält.
Im Detail werden die schädlichen Payloads über Bitbucket, den beliebten webbasierten Hosting-Dienst für Projekte, die Versionskontrollsysteme verwenden, ausgeliefert. Um sicherzustellen, dass das Opfer nicht den Verdacht hat, dass es sich um eine Straftat handelt, missbrauchen die Hacker auch TinyURL, den beliebten URL-Verkürzungsdienst, um den Link zum Bitbucket-Payload zu verbergen. Interessant ist, dass die Benutzer glauben, auf einer legitimen Webseite gelandet zu sein, wenn auch mit einer anderen IP-Adresse.
Welche Benutzer sind vom Coronavirus-Malware betroffen
Die aktuelle Zahl der potenziellen Opfer der letzten zwei Tage wird auf etwa 1.193 geschätzt, basierend auf der kumulativen Anzahl der Downloads aus den noch aktiven Bitbucket-Repositories.
Bitdefender-Forscher haben außerdem herausgefunden, dass die am stärksten betroffenen Länder Frankreich, Deutschland und die Vereinigten Staaten sind, die über 73% des Gesamten ausmachen. Italien und Spanien könnten ebenfalls betroffen sein, da Bitbucket bereits zwei Repositories gesperrt hat, was es unmöglich macht, ein vollständiges Bild der Opferzahlen zu erhalten.
Wie man sich vor Coronavirus-Malware schützt
Zusätzlich zur Änderung der Anmeldedaten für das Router-Kontrollfeld wird den Benutzern empfohlen, die Anmeldedaten für ihr Linksys-Cloud-Konto oder für jedes andere Fernverwaltungs-Konto ihrer Router zu ändern, um eine Übernahme durch Angriffe zu verhindern, die die „Brute Force“-Methode oder Credential Stuffing verwenden.
Es wird auch empfohlen, sicherzustellen, dass die Router-Firmware immer auf dem neuesten Stand ist, da dies verhindert, dass Hacker noch nicht identifizierte Schwachstellen ausnutzen, um sich des Geräts zu bemächtigen. Schließlich ist es wichtig sicherzustellen, dass alle Geräte über eine Sicherheitslösung verfügen, die den Zugriff auf Phishing- oder betrügerische Websites verhindert und das Herunterladen und Installieren von Malware unterbindet.
Pubblicato in Anleitungen & Tutorials
Hinterlasse jetzt einen Kommentar