Da diverso tempo l’attenzione dei criminali informatici è focalizzata sui router, apparecchi domestici vulnerabili in quanto spesso e volentieri non vengono aggiornati dagli utenti che ignorano i rischi di lasciare porte aperte a pericolosi bug.
“DNSChanger” sfrutta diverse tecniche partendo dal malvertising (unione dei termini inglesi malware e advertising) ovvero il ricorso a banner pubblicitari modificati che diffondono annunci contenenti codice malevolo in grado di scandagliare l’indirizzo IP, verificarne la vulnerabilità e utilizzarlo per un attacco informatico.
Una volta annidatasi l’infezione sfrutta il protocollo WebRTC (la tecnologia utilizzata in rete dai browser per il trasferimento di file o per la messaggistica istantanea), effettua verifiche attraverso il programma di navigazione per determinare il router in uso, forza l’accesso tentando le classiche combinazioni nome utente/password predefinite (es. admin/admin) e, qualora non dovesse aver successo, approfitta di bug noti del firmware. Ottenuto il controllo si attiva l’ultima fase dell’attacco che va a modificare i server DNS impostati, il tutto senza che l’utente se ne possa accorgere.
La violazione del router e il cambio dei DNS verranno sfruttati in un secondo momento da attacchi ancor più pericolosi, come l’inserimento nelle botnet, spesso utilizzate per sferrare attacchi su vasta scala contro specifici obiettivi.
Il metodo migliore per proteggersi da simili attacchi è aggiornare con regolarità il firmware del router oltre a variare le credenziali di accesso allo stesso.
Lascia un commento