DNSChanger - Malware yang mensasarkan router anda melalui penyemak imbas web
Malware yang mensasarkan komputer agak biasa tetapi malware yang mensasarkan router adalah perkara yang sama sekali berbeza. Penyelidik dari firma keselamatan firma telah mendapati bahawa cara ia beroperasi sama dengan yang baru-baru ini mendapati Stagano malware.
Malware ini dipanggil DNSChanger, dan ia menyebar melalui iklan berani malware yang disampaikan oleh rangkaian iklan yang besar. DNSChanger akan terlebih dahulu semak alamat IP pelawat untuk melihat sama ada ia berada dalam julat. Jika alamat itu tidak berada dalam julat sasaran, DNSChanger akan sediakan iklan menipu yang bersih.
Sebaliknya, jika alamat itu berada dalam julat, malware itu akan menerbitkan iklan palsu yang menyembunyikan mengeksploitasi kod dalam metadata imej PNG.
Sebaik sahaja kod berniat jahat berjaya menyelinap masuk ke PC sasaran, ia menyebabkan sasaran untuk menyambung ke halaman yang menganjurkan DNSChanger. Laman web ini akan menjalankan imbasan lain untuk memastikan alamat IP sasaran berada dalam julat yang disasarkan, dan apabila ia disahkan, tapak akan memaparkan imej kedua yang mengandungi kod eksploit.
Apa yang berlaku seterusnya bergantung pada model penghala yang DNSChanger menyerang. Sekiranya model penghala mempunyai eksploit yang diketahui, DNSChanger akan menggunakan eksploit ini untuk mengubah suai entri DNS dalam penghala. Bila mungkin, membuat pelabuhan pentadbiran tersedia dari alamat luaran.
Jika penghala itu ada tiada eksploit yang diketahui, DNSChanger akan cuba gunakan kelayakan lalai untuk mendapatkan akses kepada penghala. Jika penghala itu ada tiada eksploit yang diketahui dan tiada kata laluan yang diketahui, maka malware itu akan meninggalkan serangan itu.
Dengan menganggapnya berjaya mendapatkan akses kepada penghala, DNSChanger dapat memaksa komputer yang disambungkan untuk menyambung ke tapak palsu yang secara visual sama dengan yang sebenar.
Proofpoint telah mendapati bahawa malware itu kelihatannya memalsukan alamat IP untuk mengalihkan lalu lintas dari agensi iklan memihak kepada rangkaian iklan yang dikenali sebagai Fogzy dan TrafficBroker.
Pada masa ini, Proofpoint telah menyebut bahawa ia adalah tidak dapat menamakan semua router yang terdedah kepada DNSChanger. Walau bagaimanapun, Proofpoint telah memaklumkan kepada lima model penghala yang boleh dikompromi oleh perisian hasad tertentu ini.
Untuk melindungi diri anda dari DNSChanger, Proofpoint telah mencadangkannya router anda dikemaskini kepada firmware terkini yang tersedia dan adalah dilindungi dengan lama, kata laluan yang dijana secara rawak. Selain itu, melumpuhkan pentadbiran jauh dan mengubah alamat IP tempatan lalai router adalah langkah pencegahan yang berkesan.