Malware hijack DNS của các bộ định tuyến mà gần đây được tìm thấy nhắm tới các thiết bị Android, hiện đã được nâng cấp khả năng để có thể tấn công các thiết bị iOS cũng như người dùng máy tính để bàn.
Malware hijack DNS được gọi là Roaming Mantis, phần mềm độc hại này được tìm thấy hijack các bộ định tuyến Internet bị tấn công vào tháng trước để phân phối Android banking malware mà được thiết kế với mục đích ăn cắp thông tin xác thực đăng nhập của người dùng và mã bí mật xác thực hai yếu tố.
Theo các nhà nghiên cứu bảo mật tại Kaspersky Labs, nhóm tội phạm đằng sau chiến dịch Roaming Mantis đã mở rộng mục tiêu của họ bằng cách thêm các cuộc tấn công lừa đảo cho thiết bị iOS và kịch bản khai thác tiền ảo với người dùng PC.
Hơn nữa, trong khi các cuộc tấn công ban đầu được thiết kế để nhắm mục tiêu tới người dùng từ Đông Nam Á – bao gồm Hàn Quốc, Trung Quốc, Bangladesh và Nhật Bản – chiến dịch mới hiện hỗ trợ 27 ngôn ngữ với mục tiêu mở rộng hoạt động của mình để lây nhiễm sang người dùng trên khắp châu Âu và Trung Đông.
Cách thức malware hijack DNS – Roaming Mantis hoạt động
Tương tự như phiên bản trước, phần mềm độc hại Roaming Mantis mới được phân phối thông qua việc tấn công DNS, trong đó những kẻ tấn công thay đổi cài đặt DNS của các bộ định tuyến không dây để chuyển hướng lưu lượng truy cập đến các trang web độc hại do họ kiểm soát.
Vì vậy, bất cứ khi nào người dùng cố gắng truy cập bất kỳ trang web nào thông qua bộ định tuyến bị xâm phạm, họ đều được chuyển hướng đến các trang web lừa đảo, phục vụ:
Các ứng dụng giả mạo bị nhiễm banking malware đối với người dùng Android,
Trang web lừa đảo đối với người dùng iOS,
Trang web có tập lệnh khai thác tiền ảo đối với người dùng máy tính để bàn
Các nhà nghiên cứu nói: “Sau khi người dùng [Android] được chuyển hướng đến trang web độc hại, họ được nhắc cập nhật [ứng dụng] trình duyệt. Điều này dẫn đến việc tải xuống ứng dụng độc hại có tên là chrome.apk (cũng có một phiên bản khác có tên là facebook.apk)”.
Để tránh bị phát hiện, các trang web giả tạo ra các gói mới với các tệp apk độc hại đặc biệt để tải xuống và đặt tên tệp là tám số ngẫu nhiên.
Sau khi cài đặt, những kẻ tấn công có thể kiểm soát các thiết bị Android bị nhiễm bằng cách sử dụng 19 lệnh backdoor tích hợp, bao gồm – sendSms, setWifi, gcont, lock, onRecordAction, gọi, get_apps, ping và nhiều hơn nữa.
Nếu nạn nhân sở hữu thiết bị iOS, phần mềm độc hại sẽ chuyển hướng người dùng đến trang web lừa đảo bắt chước trang web của Apple, yêu cầu họ là ‘security.app.com’ và yêu cầu họ nhập ID người dùng, mật khẩu, số thẻ, ngày hết hạn thẻ của họ và số CVV.
Bên cạnh việc ăn cắp thông tin nhạy cảm từ thiết bị Android và iOS, các nhà nghiên cứu nhận thấy rằng Roaming Mantis tiêm một tập lệnh khai thác tiền ảo dựa trên kịch bản khai thác tiền ảo từ CoinHive trên mỗi trang đích nếu được truy cập bằng trình duyệt trên máy tính để khai thác Monero.
Hãy ghi nhớ những khả năng mới này và sự phát triển nhanh chóng của chiến dịch, các nhà nghiên cứu tin rằng “những người đứng đằng sau nó có một động lực tài chính mạnh và có lẽ được tài trợ tốt.”
Cách bảo vệ bản thân khỏi malware hijack DNS – Roaming Mantis
Để bảo vệ bản thân khỏi malware hijack DNS, bạn nên đảm bảo rằng bộ định tuyến của mình đang chạy phiên bản phần mềm mới nhất và được bảo vệ bằng mật khẩu mạnh.
Vì chiến dịch hack đang sử dụng các máy chủ DNS bị tấn công kiểm soát để giả mạo các miền hợp pháp và chuyển hướng người dùng đến tệp tải xuống độc hại, bạn nên đảm bảo rằng các trang web bạn đang truy cập đã bật HTTPS.
Bạn cũng nên tắt tính năng quản trị từ xa của bộ định tuyến và mã hóa máy chủ DNS đáng tin cậy vào cài đặt mạng của hệ điều hành.
Người dùng thiết bị Android luôn được khuyên nên cài đặt ứng dụng từ các cửa hàng chính thức và tắt cài đặt ứng dụng từ các nguồn không xác định trên điện thoại thông minh của họ bằng cách đi tới Cài đặt → Bảo mật → Nguồn không xác định.
Để kiểm tra xem bộ định tuyến Wi-Fi của bạn đã bị xâm nhập chưa, hãy xem lại cài đặt DNS của bạn và kiểm tra địa chỉ máy chủ DNS. Nếu nó không khớp với tên do nhà cung cấp của bạn cấp, hãy đổi nó trở lại đúng nhà cung cấp. Đồng thời thay đổi tất cả mật khẩu tài khoản của bạn ngay lập tức.
Bên cạnh việc ăn cắp thông tin nhạy cảm từ thiết bị Android và iOS, các nhà nghiên cứu nhận thấy rằng Roaming Mantis tiêm một tập lệnh khai thác tiền ảo dựa trên kịch bản khai thác tiền ảo từ CoinHive trên mỗi trang đích nếu được truy cập bằng trình duyệt trên máy tính để khai thác Monero.
Hãy ghi nhớ những khả năng mới này và sự phát triển nhanh chóng của chiến dịch, các nhà nghiên cứu tin rằng “những người đứng đằng sau nó có một động lực tài chính mạnh và có lẽ được tài trợ tốt.”
