سرقت اطلاعات با رخنه به روترها

شرکت بیت‌دیفندر از شناسایی حملاتی خبر داده که در جریان آن مهاجمان با هک کردن روترها و تغییر تنظیمات DNS، کاربران دستگاه‌های متصل به این تجهیزات را به سایت‌های تحت کنترل خود هدایت و با وعده ارائه آخرین اخبار در خصوص ویروس کرونا آنها را تشویق به دریافت و اجرای فایل مخرب بدافزار Oski می‌کنند.

این حملات یکی از تازه‌ترین نمونه‌ها از بهره‌جویی تبهکاران سایبری از همه‌گیری جهانی ویروس کووید ۱۹ است.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس بیت‌دیفندر، مهاجمان با شناسایی روترهای قابل دسترس بر روی اینترنت و اجرای حملات موسوم به سعی و خطا (Brute-force) اقدام به در اختیار گرفتن کنترل آنها می‌کنند.

پس از تغییر نشانی DNS روتر هک شده در زمان فراخوانی سایت‌هایی خاص در مرورگر دستگاه‌های متصل به آن، کاربر به صفحات وب مورد نظر مهاجمان هدایت می‌شود.

صفحات مذکور حاوی پیامی مشابه شکل زیر است تا بدین طریق کاربر متقاعد به دریافت و نصب برنامه‌ای که در ظاهر از سوی سازمان بهداشت جهانی (WHO) در خصوص اخبار کووید ۱۹ ارائه گردیده شود.

اگر چه با نگاه داشتن موشواره (Hover) بر روی دگمه Download نشانی معتبر https://google[.]com/chrome نمایش داده می‌شود اما تابعی که با رویداد موسوم به on-click فراخوانی می‌گردد موجب دریافت فایل از نشانی تحت کنترل مهاجمان می‌شود. ضمن اینکه آن نشانی نیز با استفاده از TinyURL کوتاه و ظاهری معتبر به خود گرفته است.

به محض کلیک کاربر بر روی دگمه Download بدافزار Oski با یکی از نام‌های runset.EXE،و covid19informer.exe و setup_who.exe بر روی دستگاه قربانی دریافت می‌شود. فایل‌های مخرب مورد استفاده این مهاجمان بر روی سرویس‌دهنده Bitbucket میزبانی می‌شوند.

Oski بدافزار سارق اطلاعات (Info Stealer) جدیدی است که نخستین نسخه از آن در اواخر سال میلادی گذشته شناسایی شد. از جمله قابلیت‌های Oski می‌توان به استخراج اطلاعات اصالت‌سنجی وارد شده در مرورگرها، رمزهای عبور کیف‌های ارز رمز و عبارات خاص ذخیره شده در بانک‌های داده اشاره کرد.

بیت‌دیفندر روترهای ساخت لینک‌سیز را هدف این حملات اعلام کرده است. در عین حال برخی منابع مورد هدف قرار گرفتن روترهای دی-لینک را نیز گزارش کرده‌اند.

به صاحبان و کاربران روترهای لینک‌سیز و دی-لینک توصیه می‌شود ضمن تغییر رمز عبور دسترسی به پنل کنترلی آنها اطلاعات اصالت‌سنجی حساب کاربری ابری (Cloud Account Credential) یا هر حساب کاربری دارای دسترسی از راه دور به این تجهیزات را تغییر دهند.

مشروح گزارش بیت‌دیفندر در اینجا قابل دریافت و مطالعه است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *