DNSChanger - Malware qui cible vos routeurs via un navigateur Web

Les logiciels malveillants qui ciblent les ordinateurs sont plutôt courants, mais les logiciels malveillants qui ciblent les routeurs sont complètement différents. Les chercheurs de l'entreprise de sécurité Proofpoint ont découvert que son fonctionnement est similaire au malware de Stegano récemment découvert .

Le logiciel malveillant s'appelle DNSChanger et il se propage via des publicités malveillantes diffusées par de grands réseaux publicitaires. DNSChanger va d'abord vérifier l'adresse IP du visiteur pour voir si elle est dans la plage . Si l'adresse ne correspond pas à la plage cible, DNSChanger configurera des annonces leurres qui sont propres .

D'un autre côté, si l'adresse tombe dans une fourchette, le logiciel malveillant publiera une fausse publicité qui cache le code d'exploitation dans les métadonnées d'une image PNG.

Une fois que le code malveillant parvient à se faufiler dans le PC de la cible, la cible se connecte à une page qui héberge DNSChanger . Le site Web effectuera une autre analyse pour s'assurer que l'adresse IP de la cible se trouve dans la plage ciblée et, lorsqu'elle sera confirmée, le site affichera une deuxième image contenant le code d'exploitation .

Ce qui se passe ensuite dépend du modèle de routeur attaqué par DNSChanger. Si le modèle de routeur a des exploits connus, DNSChanger utilisera ces exploits pour modifier les entrées DNS dans le routeur. Lorsque cela est possible, rendez les ports d'administration disponibles à partir d'adresses externes .

Si le routeur n'a pas d'exploits connus, DNSChanger tentera d' utiliser les informations d' identification par défaut pour accéder au routeur. Si le routeur n'a pas d'exploits connus et aucun mot de passe connu, le malware abandonnera alors l'attaque .

En supposant qu'il parvienne à accéder au routeur, DNSChanger est capable de forcer les ordinateurs connectés à se connecter à des sites imposteurs qui sont visuellement identiques au vrai.

Proofpoint a découvert que le logiciel malveillant semble falsifier les adresses IP afin de détourner le trafic des agences de publicité au profit de réseaux publicitaires connus sous le nom de Fogzy et TrafficBroker.

Pour le moment, Proofpoint a mentionné qu'il est impossible de nommer tous les routeurs sensibles à DNSChanger . Cependant, Proofpoint a informé les cinq modèles de routeur qui peuvent être compromis par ce malware particulier.

Afin de vous protéger de DNSChanger, Proofpoint a recommandé que vos routeurs soient mis à jour avec le dernier firmware disponible et protégé par un long mot de passe généré de manière aléatoire . De plus, la désactivation de l'administration à distance et la modification de l'adresse IP locale par défaut du routeur constituent une mesure préventive efficace.