Вредоносная реклама теперь нацелена на роутеры

Вредоносными рекламным кампаниями сегодня трудно кого-либо удивить, но специалисты Proofpoint обнаружили новую тенденцию в данной области. Теперь злоумышленники нацеливаются не на браузеры пользователей, а на их роутеры. Итоговая цель атакующих – внедрить рекламу в каждую страницу, которую посетит зараженная жертва. Интересно, что данная кампания ориентирована не на пользователей IE, как это бывает чаще всего, но на пользователей Chrome (как десктопной, так и мобильной версии).

routers-1

Действуют хакеры следующим образом: на легитимных сайтах покупаются рекламные места для размещения объявлений. Для этого атакующие используют рекламные сети AdSupply, OutBrain, Popcash, Propellerads и Taboola. В объявление встраивается вредоносный JavaScript-код, который использует WebRTC-запрос к Mozilla STUN-серверу, чтобы узнать локальный IP-адрес жертвы. Основываясь на этой информации, вредонос определяет, управляется ли локальная сеть пользователя каким-либо домашним роутером. Если ответ положительный, атака продолжается. Если же нет, пользователю показывают обычную, безвредную рекламу, и он избегает неприятностей.

Владельцам роутеров показывают совсем не безобидные объявления. Реклама переадресует их прямиком к эксплоит киту DNSChanger, который продолжает атаку. Используя стеганографию, атакующие отправляют роутеру жертвы изображение, в котором содержится AES-ключ. Вредоносная реклама использует данный ключ для дешифровки дальнейшего трафика, получаемый от DNSChanger. Так злоумышленники скрывают свои операции от внимания ИБ-специалистов.

Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.

routers-5

Если хакерам удалось получить контроль над устройством, они подменяют DNS-серверы и всю легитимную рекламу своей собственной, а также встраивают рекламу на сайты, где ее не было вовсе.

Единственный способ избежать подобных проблем – не использовать дефолтные учетные данные для роутера, отключить удаленный доступ к панели управления (если это возможно), а также обновить прошивку устройства до последней версии, чтобы закрыть уязвимости и избежать эксплоитов, которые применяет DNSChanger.

Lenovo поставляет ноутбуки с приложением собирающим данные пользователей

На этот раз шпионское ПО было найдено в восстановленных ноутбуках Windows. Информация о сборе данных присутствует в пользовательском соглашении, но далеко не на первой странице.  Подробнее здесь:  Yet another pre-installed spyware app discovered on Lenovo computers.

Это уже не первый случай установки Lenovo подобных программ на свои ноутбуки, предыдущая программа, Superfish, наделала много шума, т.к. устанавливала дополнительный корневой сертификат, с помощью которого вскрывался зашифрованный трафик Lenovo поймали на установке Руткита и Ноутбуки Lenovo все еще продаются с Трояном Superfish..