DNSChanger - Malware qui cible vos routeurs via un navigateur Web
Les logiciels malveillants qui ciblent les ordinateurs sont assez courants mais malware qui cible les routeurs sont une chose complètement différente. Des chercheurs de l'entreprise de sécurité Proofpoint ont découvert que la façon dont il fonctionne est similaire à la récente a découvert le malware Stegano.
Le malware est appelé DNSChanger, et il se propage via publicités malveillantes qui sont desservis par de grands réseaux publicitaires. DNSChanger va d'abord vérifier l'adresse IP du visiteur pour voir si elle est dans la plage. Si l'adresse ne tombe pas dans la plage cible, DNSChanger sera mettre en place des annonces leurres qui sont propres.
D'autre part, si l'adresse se situe dans une plage, le malware serait publier une fausse annonce qui cache le code d'exploitation dans les métadonnées d'une image PNG.
Une fois que le code malveillant parvient à se faufiler dans le PC de la cible, il provoque la cible à connecter à une page qui héberge DNSChanger. Le site Web effectuera une autre analyse supplémentaire pour s'assurer que l'adresse IP de la cible se situe dans la plage ciblée. Une fois la confirmation effectuée, le site affiche une seconde image contenant le code d'exploitation.
Ce qui se passe ensuite dépend du modèle de routeur attaqué par DNSChanger. Si la modèle de routeur possède des exploits connus, DNSChanger utiliser ces exploits pour modifier les entrées DNS dans le routeur. Quand c'est possible, rendre les ports d'administration disponibles à partir d'adresses externes.
Si le routeur a aucun exploit connu, DNSChanger tenterait de utiliser les informations d'identification par défaut pour accéder au routeur. Si le routeur a aucun exploit connu ni mot de passe connu, le malware serait alors abandonner l'attaque.
En supposant qu'il parvienne à accéder au routeur, DNSChanger est capable de forcer les ordinateurs connectés à se connecter aux sites imposteurs visuellement identiques au vrai.
Proofpoint a découvert que le malware semblait être falsifier les adresses IP afin de détourner le trafic des agences de publicité en faveur des réseaux publicitaires connus sous le nom de Fogzy et TrafficBroker.
Pour le moment, Proofpoint a mentionné qu'il est impossible de nommer tous les routeurs susceptibles de DNSChanger. Cependant, Proofpoint a informé les cinq modèles de routeurs pouvant être compromis par ce malware.
Afin de vous protéger de DNSChanger, Proofpoint a recommandé que vos routeurs sont mis à jour avec le dernier firmware disponible et est protégé avec un longue, mot de passe généré de manière aléatoire. aditionellement, désactiver l'administration à distance et changer l'adresse IP locale par défaut du routeur est une mesure préventive efficace.