Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Router dirottati su siti Web che diffondono app malevoli a tema Covid-19, smart working a rischio

I criminal hacker stanno prendendo di mira i router Linksys con un attacco DNS Hijacking per dirottare gli utenti su pagine Web malevoli a tema coronavirus usate per diffondere un trojan nascosto in una finta app dell’Organizzazione Mondiale della Sanità. I dettagli e i consigli per difendersi

26 Mar 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Sfruttando un attacco di tipo DNS Hijacking, i criminal hacker riescono a introdursi nei router domestici Linksys e a modificare le impostazioni DNS (Domain Name Server) per dirottare gli utenti verso siti Web malevoli usati per veicolare una finta applicazione dell’Organizzazione Mondiale della Sanità (OMS) che promette di fornire informazioni aggiornate sulla diffusione del coronavirus Covid-19.

Scaricando questa applicazione non si fa altro che aprire le porte del computer al malware Oski, un trojan infostealer specializzato nell’esfiltrazione di dati dai computer delle vittime. Nel dettaglio, il trojan è in grado di rubare le seguenti informazioni riservate:

  • cookie del browser;
  • cronologia del browser;
  • credenziali di accesso salvate;
  • portafogli di criptovalute;
  • file di testo;
  • database di autenticazione 2FA;
  • screenshot del desktop.

Si tratta dunque di una nuova campagna di attacco, iniziata lo scorso 18 marzo e scoperta dai ricercatori di sicurezza di Bitdefender, che dimostra come i criminal hacker stiano diventando sempre più creativi nel modo in cui sfruttano la pandemia di coronavirus per veicolare le loro campagne malevoli.

Router dirottati: come funziona l’attacco

In questo caso, i criminal hacker scandagliano prima la rete alla ricerca di router vulnerabili, quindi sferrano un attacco di tipo brute force per compromettere le credenziali di accesso al pannello di amministrazione dei router Linksys.

A questo punto, sono in grado di modificare le impostazioni dei server DNS, sostituendo quelli predefiniti forniti dal provider Internet o scelti dall’utente con quelli malevoli:

  • Server DNS Primario: 109.234.35.230
  • Server DNS Secondario: 94.103.82.249

Ciò significa che ogni interrogazione DNS effettuata dagli utenti collegati a un router dirottato passa attraverso i server DNS dei criminal hacker, dando agli aggressori il pieno controllo sui siti a cui l’utente accede.

In particolare, ciò avviene quando gli utenti tentano di accedere a un elenco di domini tra cui risultano anche i seguenti:

  • aws.amazon.com
  • goo.gl
  • bit.ly
  • disney.com

Quando si cerca di raggiungere uno dei domini contenuti nel lungo elenco identificato dai ricercatori di Bitdefender, gli utenti vengono di fatto reindirizzati verso un indirizzo IP che visualizza un messaggio che sembra apparentemente dell’Organizzazione Mondiale della Sanità, che chiede agli utenti di scaricare e installare la finta applicazione che nasconde il trojan Oski.

WHITEPAPER
I Servizi Gestiti possono essere un’attività estremamente redditizia. Quali gli strumenti utili?

I ricercatori Bitdefender hanno inoltre scoperto che i payload dannosi vengono consegnati tramite Bitbucket, un popolare servizio di hosting web-based per progetti che usano i sistemi di controllo versione. Per essere certi che la vittima non sospetti che si tratta di un crimine, gli hacker abusano anche di TinyURL, il popolare servizio web di abbreviazione degli URL, per nascondere il link al payload di Bitbucket. La cosa interessante è che gli utenti credono di essere atterrati su una pagina web legittima, se non fosse che è servita da un indirizzo IP diverso.

Consigli per difendersi

Per mettere in sicurezza il proprio router e continuare a lavorare in smart working senza timore di subire un furto di dati preziosi, è possibile seguire alcuni semplici accorgimenti.

Oltre a modificare le credenziali di accesso al pannello di controllo del router, si raccomanda agli utenti di cambiare le credenziali dell’account cloud Linksys, o di qualsiasi account di gestione remota del router, per evitare qualsiasi acquisizione tramite attacchi che utilizzano il metodo “forza bruta” o di credential stuffing.

Si consiglia anche di assicurarsi che il firmware del router sia sempre aggiornato, in quanto ciò impedisce agli hacker di sfruttare le vulnerabilità non ancora identificate per impadronirsi del dispositivo.

Ovviamente, è opportuno anche verificare le impostazioni DNS del proprio router e assicurarsi che non siano configurati i server 109.234.35.230 e 94.103.82.249: se così fosse, cambiamoli impostando su “Automatico” la modalità di acquisizione degli indirizzi IP o modificandoli manualmente con indirizzi noti come ad esempio quelli di Google:

  • Server DNS primario: 8.8.8.8
  • Server DNS secondario: 8.8.4.4

o quelli di OpenDNS:

  • Server DNS primario: 208.67.222.222
  • Server DNS secondario: 208.67.220.220)

Infine, è importante assicurarsi che tutti i dispositivi abbiano installato una soluzione di sicurezza che impedisca di accedere a siti web di phishing o fraudolenti e di scaricare e installare malware.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5