سرقت اطلاعات با رخنه به روترها
شرکت بیتدیفندر از شناسایی حملاتی خبر داده که در جریان آن مهاجمان با هک کردن روترها و تغییر تنظیمات DNS، کاربران دستگاههای متصل به این تجهیزات را به سایتهای تحت کنترل خود هدایت و با وعده ارائه آخرین اخبار در خصوص ویروس کرونا آنها را تشویق به دریافت و اجرای فایل مخرب بدافزار Oski میکنند.
این حملات یکی از تازهترین نمونهها از بهرهجویی تبهکاران سایبری از همهگیری جهانی ویروس کووید ۱۹ است.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس بیتدیفندر، مهاجمان با شناسایی روترهای قابل دسترس بر روی اینترنت و اجرای حملات موسوم به سعی و خطا (Brute-force) اقدام به در اختیار گرفتن کنترل آنها میکنند.
پس از تغییر نشانی DNS روتر هک شده در زمان فراخوانی سایتهایی خاص در مرورگر دستگاههای متصل به آن، کاربر به صفحات وب مورد نظر مهاجمان هدایت میشود.
صفحات مذکور حاوی پیامی مشابه شکل زیر است تا بدین طریق کاربر متقاعد به دریافت و نصب برنامهای که در ظاهر از سوی سازمان بهداشت جهانی (WHO) در خصوص اخبار کووید ۱۹ ارائه گردیده شود.
اگر چه با نگاه داشتن موشواره (Hover) بر روی دگمه Download نشانی معتبر https://google[.]com/chrome نمایش داده میشود اما تابعی که با رویداد موسوم به on-click فراخوانی میگردد موجب دریافت فایل از نشانی تحت کنترل مهاجمان میشود. ضمن اینکه آن نشانی نیز با استفاده از TinyURL کوتاه و ظاهری معتبر به خود گرفته است.
به محض کلیک کاربر بر روی دگمه Download بدافزار Oski با یکی از نامهای runset.EXE،و covid19informer.exe و setup_who.exe بر روی دستگاه قربانی دریافت میشود. فایلهای مخرب مورد استفاده این مهاجمان بر روی سرویسدهنده Bitbucket میزبانی میشوند.
Oski بدافزار سارق اطلاعات (Info Stealer) جدیدی است که نخستین نسخه از آن در اواخر سال میلادی گذشته شناسایی شد. از جمله قابلیتهای Oski میتوان به استخراج اطلاعات اصالتسنجی وارد شده در مرورگرها، رمزهای عبور کیفهای ارز رمز و عبارات خاص ذخیره شده در بانکهای داده اشاره کرد.
بیتدیفندر روترهای ساخت لینکسیز را هدف این حملات اعلام کرده است. در عین حال برخی منابع مورد هدف قرار گرفتن روترهای دی-لینک را نیز گزارش کردهاند.
به صاحبان و کاربران روترهای لینکسیز و دی-لینک توصیه میشود ضمن تغییر رمز عبور دسترسی به پنل کنترلی آنها اطلاعات اصالتسنجی حساب کاربری ابری (Cloud Account Credential) یا هر حساب کاربری دارای دسترسی از راه دور به این تجهیزات را تغییر دهند.
مشروح گزارش بیتدیفندر در اینجا قابل دریافت و مطالعه است.