DNSChanger - Malware yang menargetkan router Anda melalui browser web
Perangkat lunak jahat yang menargetkan komputer agak umum tetapi malware yang menargetkan router adalah hal yang sama sekali berbeda. Peneliti dari perusahaan keamanan Proofpoint telah menemukan bahwa cara kerjanya mirip dengan yang baru-baru ini menemukan malware Stegano.
Malware disebut DNSChanger, dan menyebar melalui iklan yang mengandung malware yang dilayani oleh jaringan iklan besar. DNSChanger akan terlebih dahulu periksa alamat IP pengunjung untuk melihat apakah alamat tersebut berada dalam jangkauan. Jika alamatnya tidak termasuk dalam kisaran target, DNSChanger akan siapkan iklan pemikat yang bersih.
Di sisi lain, jika alamat berada dalam jangkauan, malware akan melakukannya mempublikasikan iklan palsu yang menyembunyikan kode eksploitasi di metadata dari gambar PNG.
Setelah kode berbahaya berhasil menyelinap masuk ke PC target, itu menyebabkan target untuk terhubung ke halaman yang meng-host DNSChanger. Situs web akan melakukan pemindaian lain untuk memastikan bahwa alamat IP target berada dalam kisaran yang ditargetkan, dan ketika dikonfirmasi, situs akan menampilkan gambar kedua yang berisi kode exploit.
Apa yang terjadi selanjutnya tergantung pada model router yang diserang DNSChanger. Jika model router telah mengetahui exploit, DNSChanger akan memanfaatkan eksploit ini untuk mengubah entri DNS di router. Jika memungkinkan, membuat port administrasi tersedia dari alamat eksternal.
Jika router memiliki tidak ada eksploitasi yang diketahui, DNSChanger akan berusaha untuk gunakan kredensial default untuk mendapatkan akses ke router. Jika router memiliki tidak ada eksploitasi yang diketahui dan tidak ada kata sandi yang dikenal, malware akan melakukannya tinggalkan serangan itu.
Dengan asumsi itu berhasil mendapatkan akses ke router, DNSChanger dapat melakukannya memaksa komputer yang terhubung untuk terhubung ke situs palsu yang secara visual identik dengan yang asli.
Proofpoint telah menemukan bahwa malware itu tampaknya memalsukan alamat IP untuk mengalihkan lalu lintas dari agen iklan mendukung jaringan iklan yang dikenal sebagai Fogzy dan TrafficBroker.
Saat ini, Proofpoint telah menyebutkannya tidak mungkin memberi nama semua router yang rentan terhadap DNSChanger. Namun, Proofpoint menginformasikan kelima model router yang dapat dikompromikan oleh malware tertentu ini.
Untuk melindungi diri Anda dari DNSChanger, Proofpoint merekomendasikan hal itu router Anda diperbarui ke firmware terbaru yang tersedia dan terlindung dengan panjang, kata sandi yang dibuat secara acak. Selain itu, menonaktifkan administrasi jarak jauh dan mengubah alamat IP lokal default router adalah tindakan pencegahan yang efektif.