近一个星期以来,一群黑客一直闯入人们的路由器并更改DNS设置,以使毫无戒心的设备用户指向与冠状病毒相关的网站,以传播恶意软件。
根据网络安全公司Bitdefender和技术支持论坛以及新闻网站Bleeping Computer的报道,目前,攻击已针对D-Link和Linksys路由器。
据Bitdefender称,黑客正在使用蛮力攻击来猜测目标路由器的管理员密码。一旦他们猜出密码并进入,黑客便会更改路由器的默认DNS服务器设置,将设备指向自己的服务器。
这意味着连接到被劫持路由器的用户进行的每个DNS查询都将通过黑客的DNS服务器,从而使攻击者可以完全控制用户访问哪些站点。
根据报告,当用户尝试访问特定域的列表时,黑客已将用户重定向到自定义站点,敦促用户安装冠状病毒(COVID-19)信息应用程序。
Bitdefender和Bleeping Computer都说此应用程序安装了Oski木马的版本。Oski是最近在俄罗斯俄语的暗网论坛上出售的信息窃取木马。该木马的主要功能是从浏览器和cryptowallet文件中窃取帐户凭据,以劫持cryptocurrency帐户。
根据Bitdefender,报告用户尝试访问以下域之一时已重定向到以冠状病毒为主题的恶意网站:
aws.amazon.com
goo.gl
bit.ly
washington.edu
imageshack.us
ufl.edu
disney.com
cox.net
xhamster.com
pubads.g.doubleclick.net
tidd.ly
redditblog.com
fiddler2.com
winimage.com
黑客使用的恶意DNS服务器为109.234.35.230和94.103.82.249。如果ZDNet阅读器使用D-Link或Linksys路由器,则应连接到设备的管理面板,并检查这两个IP地址是否出现在DNS设置部分中。
如果这样做,用户应删除DNS服务器IP地址并更改路由器的管理面板密码。
这项运动始于3月18日,目前正在进行中。D-Link和Linksys所有者应随时注意下载和安装冠状病毒相关应用程序的任何无提示请求-如今,对于常见的网络犯罪分子和国家资助的团体而言,这都是一种常见的恶意软件诱饵。
*编译:Domino
*来自:ZDNET