Hello All
waktu berikutnya ketika Anda melihat sebuah iklan dari pasangan favorit Anda sepatu pada situs web apapun, bahkan jika itu adalah sah, hanya JANGAN KLIK IT.
Karena iklan yang bisa menginfeksi Anda sedemikian rupa yang tidak hanya sistem Anda, tetapi setiap perangkat yang terhubung ke jaringan Anda akan terpengaruh.
Beberapa hari yang lalu, kami melaporkan tentang eksploitasi kit baru, dijuluki stegano, yang menyembunyikan kode berbahaya dalam pixel iklan banner berputar pada beberapa situs-situs berita profil tinggi.
Sekarang, para peneliti telah menemukan bahwa penyerang menargetkan pengguna online dengan memanfaatkan kit yang disebut DNSChanger yang sedang didistribusikan melalui iklan yang menyembunyikan kode berbahaya di data citra.
Ingat DNSChanger? Ya, malware yang sama yang menginfeksi jutaan komputer di seluruh dunia pada tahun 2012.
Beberapa hari yang lalu, kami melaporkan tentang eksploitasi kit baru, dijuluki stegano, yang menyembunyikan kode berbahaya dalam pixel iklan banner berputar pada beberapa situs-situs berita profil tinggi.
Sekarang, para peneliti telah menemukan bahwa penyerang menargetkan pengguna online dengan memanfaatkan kit yang disebut DNSChanger yang sedang didistribusikan melalui iklan yang menyembunyikan kode berbahaya di data citra.
Ingat DNSChanger? Ya, malware yang sama yang menginfeksi jutaan komputer di seluruh dunia pada tahun 2012.
DNSChanger bekerja dengan mengubah entri server DNS di komputer yang
terinfeksi untuk menunjuk ke server jahat di bawah kendali para
penyerang, bukan server DNS yang disediakan oleh ISP atau organisasi. Jadi,
setiap kali pengguna dari sistem yang terinfeksi tampak sebuah situs
web di Internet (katakanlah, facebook.com), DNS server berbahaya
memberitahu Anda untuk pergi ke, katakanlah, sebuah situs phishing. Penyerang juga bisa menyuntikkan iklan, mengarahkan hasil pencarian, atau mencoba untuk menginstal drive-by downloads. Bagian yang paling mengkhawatirkan adalah bahwa hacker telah
dikombinasikan baik ancaman dalam kampanye malvertising mereka baru-baru
ini tersebar luas, di mana DNSChanger malware sedang menyebar
menggunakan teknik Stegno, dan setelah memukul sistem anda, bukan
menginfeksi PC Anda, dibutuhkan kontrol router tanpa jaminan Anda. Para peneliti di Proofpoint telah menemukan DNSChanger unik ini memanfaatkan kit pada lebih dari 166 model router. kit
ini unik karena malware di dalamnya tidak menargetkan browser,
melainkan menargetkan router yang menjalankan firmware unpatched atau
dijamin dengan password admin lemah.
Inilah Cara DNSChanger Malware Bekerja:
Pertama, iklan di situs utama bersembunyi kode berbahaya di data citra pengalihan korban ke halaman web hosting DNSChanger mengeksploitasi kit. Mengeksploitasi kit kemudian menargetkan router tanpa jaminan.
Setelah router terganggu, yang DNSChanger malware mengkonfigurasi dirinya sendiri untuk menggunakan server DNS penyerang-dikendalikan, menyebabkan kebanyakan komputer dan perangkat pada jaringan untuk mengunjungi server jahat, daripada mereka yang sesuai dengan domain resmi mereka.
Setelah router terganggu, yang DNSChanger malware mengkonfigurasi dirinya sendiri untuk menggunakan server DNS penyerang-dikendalikan, menyebabkan kebanyakan komputer dan perangkat pada jaringan untuk mengunjungi server jahat, daripada mereka yang sesuai dengan domain resmi mereka.
Iklan-iklan yang berisi kode JavaScript berbahaya mengungkapkan alamat IP lokal pengguna dengan memicu permintaan WebRTC (protokol komunikasi web) ke Mozilla STUN (Session Traversal Utilities untuk NAT) Server.
Server STUN kemudian mengirim ping kembali berisi alamat IP dan port dari klien. Jika alamat IP target adalah dalam kisaran yang ditargetkan, target menerima bersembunyi iklan palsu memanfaatkan kode dalam metadata dari gambar PNG.
Kode berbahaya akhirnya mengarahkan pengunjung ke halaman web hosting DNSChanger, yang menggunakan browser Chrome untuk Windows dan Android untuk melayani gambar kedua tersembunyi dengan router kode mengeksploitasi.
"Serangan ini ditentukan oleh model router tertentu yang terdeteksi selama fase pengintaian," tulis seorang peneliti Proofpoint dalam posting blog. "Jika tidak ada yang diketahui mengeksploitasi, serangan itu akan mencoba untuk menggunakan kredensial default."
Server STUN kemudian mengirim ping kembali berisi alamat IP dan port dari klien. Jika alamat IP target adalah dalam kisaran yang ditargetkan, target menerima bersembunyi iklan palsu memanfaatkan kode dalam metadata dari gambar PNG.
Kode berbahaya akhirnya mengarahkan pengunjung ke halaman web hosting DNSChanger, yang menggunakan browser Chrome untuk Windows dan Android untuk melayani gambar kedua tersembunyi dengan router kode mengeksploitasi.
"Serangan ini ditentukan oleh model router tertentu yang terdeteksi selama fase pengintaian," tulis seorang peneliti Proofpoint dalam posting blog. "Jika tidak ada yang diketahui mengeksploitasi, serangan itu akan mencoba untuk menggunakan kredensial default."
Daftar Router Terkena
Serangan
itu kemudian menyelubungi lalu lintas dan membandingkan router diakses
terhadap 166 sidik jari yang digunakan untuk menentukan apakah target
menggunakan model router rentan. Menurut peneliti, beberapa router rentan meliputi:
- D-Link DSL-2740R
- Netgear WNDR3400v3 (dan model lainnya kemungkinan dalam seri ini)
- Netgear R6200
- COMTREND ADSL Router CT-5367 C01_R12
- Pirelli ADSL2 / 2 + Wireless Router P.DGA4001N
Tidak jelas pada saat itu berapa banyak orang telah terkena iklan berbahaya atau berapa lama kampanye sudah berjalan, namun Proofpoint mengatakan para penyerang balik kampanye sebelumnya telah bertanggung jawab untuk menginfeksi lebih dari 1 juta orang per hari. Proofpoint tidak mengungkapkan nama jaringan iklan atau situs menampilkan iklan berbahaya. Pengguna disarankan untuk memastikan bahwa router mereka menjalankan versi terbaru dari firmware dan dilindungi dengan sandi yang kuat. Mereka juga dapat menonaktifkan administrasi remote, mengubah alamat IP standar lokal, dan hardcode server DNS dipercaya ke dalam pengaturan jaringan sistem operasi.
[ Semoga Bermanfaat ]
[ Don't Forget For Share & Like ]
[ Don't Forget For Subscribe ]
[ ]
Posting Komentar