Mã độc DNSChanger lây lan thông qua bộ định tuyến router

Không chỉ hệ thống của bạn mà tất cả các thiết bị kết nối trong mạng đều có thể bị lây nhiễm mã độc thông qua quảng cáo. KHÔNG NHẤN VÀO QUẢNG CÁO cho dù đó là quảng cáo có nguồn gốc tin cậy.

Các nhà  nghiên cứu mới phát hiện ra tin tặc đang tấn công người dùng trực tuyến bằng một bộ công cụ khai thác có tên DNSChanger. Nó có thể phát tán thông qua quảng cáo và ẩn dấu mã độc trong dữ liệu hình ảnh. DNSChanger hoạt động bằng cách thay đổi cấu hình địa chỉ máy chủ DNS trên thiết bị, trỏ tới máy chủ động hại do tin tặc điều khiển.

Bất cứ khi nào nạn nhân tìm kiếm một website trên internet, máy chủ DNS độc hại sẽ điều hướng đến trang web lừa đảo. Tin tặc có thể hiển thị quảng cáo độc hại, điều hướng tìm kiếm và cố gắng cài đặt các phần mềm khác… Điều đáng lo lắng là tin tặc kết hợp nhiều mối đe dọa trong  chiến dịch tấn công mã độc. DNSChanger đảm nhiệm vai trò phát tán bằng kĩ thuật Stegno (dấu tin trong ảnh) , và khi lây nhiễm thành công, nó sẽ kiểm soát các thiết bị bộ định tuyến bảo mật yếu.

Các nhà nghiên cứu tại Proofpoint đã phát hiện DNSChanger trong hơn 166 loại bộ định tuyến. Quá trình tấn công như sau:

  • Quảng cáo trên các website chứa mã độc trong hình ảnh điều hướng nạn nhân tới trang chứa mã độc DNSChanger. Mã độc sau đó sẽ tấn công vào bộ định tuyến bảo mật yếu.
  • DNSChanger tự cấu hình bộ định tuyến trỏ đến máy chủ DNS độc hại. Tất cả thiết bị kết nối đến bộ định tuyến đều bị điều hướng đến trang chứa mã độc.

dnschanger-router-hack

Một số bộ định tuyến bị ảnh hưởng bao gồm:

  • D-Link DSL-2740R
  • NetGear WNDR3400v3
  • Netgear R6200
  • COMTREND ADSL Router CT-5367 C01_R12
  • Pirelli ADSL2/2+ Wireless Router P.DGA4001N

Chưa xác định được có bao nhiêu người bị ảnh hưởng bởi mã độc DNSChanger và chiến dịch mã độc này đã diễn ra trong bao lâu nhưng các nhà nghiên cứu ước tính rằng hơn 1 triệu người bị lây nhiễm mỗi ngày.

Người dùng được khuyến cáo cập nhật firmware cho bộ định tuyến phiên bản mới nhất và sử dụng mật khẩu mạnh. Thay đổi địa chỉ IP cục bộ mặc định, vô hiệu hóa quyền điều khiển từ xa hay cấu hình sẵn máy chủ DNS tin cậy cũng là những cách đảm bảo an toàn cho hệ thống mạng.

THN

Bình luận

Từ khóa: