Hackers richten zich op consumenten-routers om malware te pushen

Abonneer je gratis op Techzine!

Niet alleen neemt het aantal phishing-campaigns toe nu veel mensen wereldwijd thuiswerken wegens het coronavirus, ook is er een stijging te zien in aanvallen van hackers die op andere wijze malware op een systeem willen krijgen. Zo ook het richten van pijlen op routers in huizen.

Onderzoekers van Bitdefender constateerden dat er een reeks nieuwe aanvallen wordt uitgevoerd die zich richt op het wijzigingen van de DNS-instellingen. Voornamelijk routers van Linksys zouden het doelwit zijn (waarbij de inloggegevens gebruteforced zouden worden). Nadat het DNS IP adres veranderd is, wordt de gebruiker bij het bezoeken van een reeks vaak bezochte pagina’s (waaronder Amazon maar ook pornosites) doorgestuurd naar een pagina met nieuws over het coronavirus. Hier wordt vervolgens een applicatie aangeboden die informatie en instructies zou bieden.

Gebruikers om de tuin geleid

De app bevat malware (Oski infostealer), maar de URL van de pagina wordt deels afgeschermd middels het gebruik van TinyURL; een populaire service waarmee lange sitenamen verkort kunnen worden om gemakkelijker te versturen. De malware die via Bitbucket wordt gedownload wordt niet alleen lastig zichtbaar gemaakt middels TinyURL, vanwege de andere DNS-settings hebben gebruikers niets door.

Zodra de DNS-settings worden aangepast in de router, worden verzoeken om een webpagina te openen verstuurd vanaf een tweetal IP’s: 109.234.35.230 en 94.103.82.249. Het enige dat de hackers hoeven te doen, is een popup meesturen bij het bezoek aan een reeks webpagina’s (waarvan een deel terug te vinden is op de site van Bitdefender).

Bitbucket (waar de malware vanaf werd gedownload) heeft twee van de door Bitdefender gevonden accounts gesloten, twee andere staan nog open. Het aantal downloads van de inhoud op die accounts staat vooralsnog net boven de duizend, maar Bitdefender verwacht dat het aantal slachtoffers beduidend hoger ligt dan dat: van de gesloten twee accounts is echter niets terug te vinden.