Το περιβόητο malware Sality έκανε καριέρα γύρω στο 2003. Ωστόσο, τους τελευταίους μήνες, οι κατασκευαστές του έχουν αρχίσει την προσθήκη νέων λειτουργιών, που έχουν σχεδιαστεί για να παραβιάζουν την κύρια διεύθυνση DNS των δρομολογητών, ή routers όπως αναφέρει η ESET.
Οι ερευνητές ασφαλείας από την ESET ανέλυσαν αυτά τα νέα χαρακτηριστικά, τα οποία εμφανίστηκαν για πρώτη φορά στο τέλος Οκτωβρίου του 2013. Η απειλή, ονομάστηκε Win32/RBrute, και επισημάνθηκε για πρώτη φορά από εμπειρογνώμονες της Ρώσικης εταιρείας ασφάλειας Dr. Web.
Στο πρώτο μέρος της επίθεσης, ένα νέο συστατικό του malware που ανιχνεύεται από την ESET σαν Win32/RBrute.A σαρώνει το διαδίκτυο για διάφορα μοντέλα router. Ο κατάλογος των routers που αναζητεί περιλαμβάνει τα D-Link, Cisco, Huawei, ZTE και TP-Link. Τα πιο στοχευμένα μοντέλα είναι αυτά της TP-Link.
Όταν το malware αναγνωρίσει κάποιο από αυτά τα routers, κατεβάζει μια λίστα με διευθύνσεις IP από το διακομιστή διοίκησης και ελέγχου (C&C), και προσπαθεί να εκτελέσει μια επίθεση brute-force για να αποκτήσει τον έλεγχο στην ιστοσελίδα διαχείρισης της συσκευής.
Ο διακομιστής C&C στέλνει στο κακόβουλο λογισμικό μια λίστα με δεκάδες κοινούς κωδικούς πρόσβασης για να προσπαθήσει να αποκτήσει πρόσβαση στη σελίδα διαχείρισης. Ο κατάλογος περιλαμβάνει κωδικούς όπως: “password”, “qwerty”, “root”, “trustno1”, “admin”, “12345”, “123456”, “abc123” και “administrator”.
Μόλις αποκτήσει πρόσβαση, αλλάζει τη κύρια διεύθυνση του διακομιστή DNS στο router. Με την αλλαγή της διεύθυνσης του server, οι απατεώνες μπορούν να ανακατευθύνουν τα θύματα τους σε αυθαίρετες ιστοσελίδες.
Οι εμπειρογνώμονες της ESET διαπίστωσαν ότι οι χρήστες των οποίων οι υπολογιστές έχουν μολυνθεί μεταφέρονται σε μια ψεύτικη ιστοσελίδα εγκατάστασης του Google Chrome.
Οι ψεύτικες σελίδες έχουν συσταθεί για τη διανομή του malware Sality. Με αυτό τον τρόπο, και οι άλλοι χρήστες που χρησιμοποιούν το μολυσμένο router μπορεί να μολυνθούν.
“Η διεύθυνση IP που χρησιμοποιείται ως πρωτεύον DNS του router αποτελεί μέρος του δικτύου Win32/Sality. Στην πραγματικότητα, είναι ένα άλλο κακόβουλο λογισμικό, που ανιχνεύεται από την ESET ως Win32/RBrute.B, και η εγκατάσταση του γίνεται από το Win32/Sality. Οι μολυσμένοι υπολογιστές μπορούν να λειτουργήσουν είτε σαν DNS ή σαν HTTP proxy servers για να διανέμουν το ψεύτικο πρόγραμμα εγκατάστασης του Google Chrome,” αναφέρουν οι ειδικοί της ESET.
Για πρόσθετες τεχνικές λεπτομέρειες σχετικά με τα νέα χαρακτηριστικά του Sality, μπορείτε να δείτε την ιστοσελίδα της ESET.
