Sfruttando un attacco di tipo DNS Hijacking, i criminal hacker riescono a introdursi nei router domestici Linksys e a modificare le impostazioni DNS (Domain Name Server) per dirottare gli utenti verso siti Web malevoli usati per veicolare una finta applicazione dell’Organizzazione Mondiale della Sanità (OMS) che promette di fornire informazioni aggiornate sulla diffusione del coronavirus Covid-19.
- cookie del browser;
- cronologia del browser;
- credenziali di accesso salvate;
- portafogli di criptovalute;
- file di testo;
- database di autenticazione 2FA;
- screenshot del desktop.
Si tratta dunque di una nuova campagna di attacco, iniziata lo scorso 18 marzo e scoperta dai ricercatori di sicurezza di Bitdefender, che dimostra come i criminal hacker stiano diventando sempre più creativi nel modo in cui sfruttano la pandemia di coronavirus per veicolare le loro campagne malevoli.
Indice degli argomenti
Router dirottati: come funziona l’attacco
In questo caso, i criminal hacker scandagliano prima la rete alla ricerca di router vulnerabili, quindi sferrano un attacco di tipo brute force per compromettere le credenziali di accesso al pannello di amministrazione dei router Linksys.
A questo punto, sono in grado di modificare le impostazioni dei server DNS, sostituendo quelli predefiniti forniti dal provider Internet o scelti dall’utente con quelli malevoli:
- Server DNS Primario: 109.234.35.230
- Server DNS Secondario: 94.103.82.249
Ciò significa che ogni interrogazione DNS effettuata dagli utenti collegati a un router dirottato passa attraverso i server DNS dei criminal hacker, dando agli aggressori il pieno controllo sui siti a cui l’utente accede.
In particolare, ciò avviene quando gli utenti tentano di accedere a un elenco di domini tra cui risultano anche i seguenti:
- aws.amazon.com
- goo.gl
- bit.ly
- disney.com
Quando si cerca di raggiungere uno dei domini contenuti nel lungo elenco identificato dai ricercatori di Bitdefender, gli utenti vengono di fatto reindirizzati verso un indirizzo IP che visualizza un messaggio che sembra apparentemente dell’Organizzazione Mondiale della Sanità, che chiede agli utenti di scaricare e installare la finta applicazione che nasconde il trojan Oski.
I ricercatori Bitdefender hanno inoltre scoperto che i payload dannosi vengono consegnati tramite Bitbucket, un popolare servizio di hosting web-based per progetti che usano i sistemi di controllo versione. Per essere certi che la vittima non sospetti che si tratta di un crimine, gli hacker abusano anche di TinyURL, il popolare servizio web di abbreviazione degli URL, per nascondere il link al payload di Bitbucket. La cosa interessante è che gli utenti credono di essere atterrati su una pagina web legittima, se non fosse che è servita da un indirizzo IP diverso.
Consigli per difendersi
Per mettere in sicurezza il proprio router e continuare a lavorare in smart working senza timore di subire un furto di dati preziosi, è possibile seguire alcuni semplici accorgimenti.
Oltre a modificare le credenziali di accesso al pannello di controllo del router, si raccomanda agli utenti di cambiare le credenziali dell’account cloud Linksys, o di qualsiasi account di gestione remota del router, per evitare qualsiasi acquisizione tramite attacchi che utilizzano il metodo “forza bruta” o di credential stuffing.
Si consiglia anche di assicurarsi che il firmware del router sia sempre aggiornato, in quanto ciò impedisce agli hacker di sfruttare le vulnerabilità non ancora identificate per impadronirsi del dispositivo.
Ovviamente, è opportuno anche verificare le impostazioni DNS del proprio router e assicurarsi che non siano configurati i server 109.234.35.230 e 94.103.82.249: se così fosse, cambiamoli impostando su “Automatico” la modalità di acquisizione degli indirizzi IP o modificandoli manualmente con indirizzi noti come ad esempio quelli di Google:
- Server DNS primario: 8.8.8.8
- Server DNS secondario: 8.8.4.4
o quelli di OpenDNS:
- Server DNS primario: 208.67.222.222
- Server DNS secondario: 208.67.220.220)
Infine, è importante assicurarsi che tutti i dispositivi abbiano installato una soluzione di sicurezza che impedisca di accedere a siti web di phishing o fraudolenti e di scaricare e installare malware.
