Analistas de segurança descobriram que os atacantes estão mirando os usuários on-line com um kit exploit contendo o malware DNSChanger e que está sendo distribuído através de anúncios que escondem códigos maliciosos em imagens.
Você lembra do DNSChanger? Sim, o mesmo malware que infectou milhões de computadores em todo o mundo em 2012… voltou.
O DNSChanger funciona alterando as entradas do servidor DNS em computadores infectados para apontar para servidores mal-intencionados sob o controle dos invasores, em vez dos servidores DNS fornecidos por qualquer ISP ou uma organização confiável.
Assim, sempre que um usuário de um sistema infectado for a um site (digamos, facebook.com), o servidor DNS malicioso irá redirecioná-lo a um phishing. Os atacantes também poderiam injetar anúncios, redirecionar os resultados da pesquisa, entre outros.
Há alguns dias, um novo kit exploit apelidado de Stegano foi descoberto e com ele é possível ocultar um código malicioso nos pixels de anúncios em banners rotativos em vários sites de grande porte.
A parte mais preocupante é que os hackers têm combinado ambas as ameaças em sua recente campanha de “publicidade”, onde o malware DNSChanger está sendo espalhado, utilizando a mesma técnica do Stegano, e uma vez que atingir o seu sistema, ao invés de infectar seu PC ele assume o controle de seu roteador.
Pesquisadores da Proofpoint informaram que o kit com o Stegano e DNSChanger afeta mais de 166 modelos de roteadores. O kit é único, pois o malware nele não segmenta navegadores, mas destina-se a roteadores que executam firmwares não atualizados ou são protegidos com senhas fracas.
De acordo com pesquisadores, alguns dos roteadores vulneráveis incluem:
- D-Link DSL-2740R
- NetGear WNDR3400v3 (e provavelmente outros modelos desta série)
- Netgear R6200
- COMTREND ADSL Router CT-5367 C01_R12
- Pirelli ADSL2/2+ Wireless Router P.DGA4001N
Não está claro no momento quantas pessoas foram expostas aos anúncios maliciosos ou a quanto tempo a campanha está em execução, mas a Proofpoint disse que os responsáveis pela campanha anterior conseguiram infectar mais de 1 milhão de pessoas por dia.
A Proofpoint não divulgou o nome de qualquer rede publicitária ou site que exibisse os anúncios maliciosos.
Os usuários são aconselhados a utilizarem a versão mais recente do firmware de seu roteador e utilizar senhas consideradas fortes (com letras, números, etc).
