E’ stata individuata una nuova versione di DNSChanger, un malware esistente dal 2012, ma tornato ora ancora più pericoloso. Mentre nella versione precedente mirava ad un solo computer, adesso sfrutta la vulnerabilità dei modem/router di casa dei brand più diffusi per dare accesso ai cyber-criminali al traffico di tutti i dispositivi collegati alla rete locale o al Wi-Fi. La tecnica punta a modificare il sistema di risoluzione degli indirizzi IP
(DNS ) in modo da poter appunto dirottare il traffico internet dei dispositivi.
La strategia di attacco è molto complicata non solo perché composta da una serie di tecniche complesse ma perché sembra che i cyber-crminali si siano concentrati sull’ invisibilità : le fasi di attacco prevedono più livelli di controllo e scelta delle vittime in modo da non includere società di antivirus ed essere scoperti.
Fase 1: il processo inizia attraverso l’utilizzo di Stegano.
Stegano è un Exploit Kit in circolazione dal 2014, che sfrutta la tecnica della steganografia per nascondere codici infetti in immagini che appaiono innocue. Nella versione corrente viene utilizzato un codice Javascript all’ interno di immagini PNG. Questi codici infetti sono stati diffusi sul web anche sfruttando alcune agenzie pubblicitarie, naturalmente ignare di tutto.
Il codice infetto si è diffuso molto facilmente apparendo sottoforma di banner pubblicitario innocuo. Ma non appena la vittima si collega al sito internet nel quale è contenuta l’immagine , da qualsiasi dispositivo (sia PC Windows che telefoni Android) il codice nascosto entra in azione ed individua l’indirizzo IP del dispositivo mandando una richiesta webRTC indirizzata ad uno STUN server, che restituisce indirizzo IP e porta usata dal client. In questo momento si attiva il primo livello di controlli da parte dei pirati per evitare di essere scoperti, infatti il Javascript compara l’indirizzo IP con un elenco predefinito in modo da stabilire se la potenziale vittima è un utente o una società di antivirus . Se il responso è positivo e la vittima è appetibile il dispositivo viene indirizzato verso una pagina che contiene DNSChanger , altrimenti viene visualizzato semplicemente il banner pubblicitario per non destare sospetti.
Fase 2: la strategia prevede l’invio di un’ulteriore immagine che contiene appunto DNSCharger che, prima di tutto, procede ad un controllo del router, attraverso una funzione che riesce ad individuare il modello in uso.
Vi sono modelli più vulnerabili di altri. Sono considerati
vulnerabili 166 modelli di produttori differenti (anche tra i più famosi, come D-link , Netgear e il Pirelli ADSL2/2+ Wireless Router P.DGA4001N fornito per un certo periodo in bundle da Telecom). Se il modello è tra quelli vulnerabili il malware modifica immediatamente le impostazione del DNS, se invece non lo è tenta comunque di utilizzare le credenziali di default e modificare il DNS. Modificare le impostazione del DNS serve a dirottare il traffico internet.
vulnerabili 166 modelli di produttori differenti (anche tra i più famosi, come D-link , Netgear e il Pirelli ADSL2/2+ Wireless Router P.DGA4001N fornito per un certo periodo in bundle da Telecom). Se il modello è tra quelli vulnerabili il malware modifica immediatamente le impostazione del DNS, se invece non lo è tenta comunque di utilizzare le credenziali di default e modificare il DNS. Modificare le impostazione del DNS serve a dirottare il traffico internet.
Le conseguenze per ora..
Per il momento sembra che questa strategia sia sfruttata per dirottare il traffico Web e far incassare ai pirati gli introiti pubblicitari derivati dalle visualizzazioni . Ma le conseguenze possono essere anche peggiori . Una falla del genere apre le porte ad attacchi di diversa natura, primo tra tutti il phishing. Modificando il traffico a proprio piacimento per i pirati è facile indirizzare il dispositivo verso siti uguali agli originali in cui la vittima solitamente inserisce le proprie credenziali, e così rubarle.
Nessun commento:
Posta un commento