Nhóm của Hacker đó là đằng sau phân phối của nó Phần mềm độc hại Roaming Mantis, đã cập nhật phiên bản Android của phần mềm độc hại để bao gồm một bộ chuyển đổi DNS
Phương pháp của anh ấy Trình thay đổi DNS sửa đổi cài đặt DNS trên các bộ định tuyến WiFi dễ bị tấn công để lây nhiễm sang các thiết bị khác.
Qua Tháng 2022 năm XNUMX, các nhà nghiên cứu bảo mật nhận thấy rằng nhóm tin tặc đứng sau phần mềm độc hại của “Bọ ngựa chuyển vùng”, chúng tiến hành phát tán phiên bản mới của phần mềm độc hại Wroba.o/XLoader trên Android, phát hiện các bộ định tuyến Wi-Fi dễ bị tấn công dựa trên kiểu máy của chúng và thay đổi DNS của chúng.
Phần mềm độc hại sau đó tạo một yêu cầu HTTP can thiệp vào cài đặt DNS của bộ định tuyến Wi-Fi dễ bị tổn thương, khiến các thiết bị được kết nối bị chuyển hướng đến các trang web độc hại lưu trữ các biểu mẫu lừa đảo hoặc thả phần mềm độc hại Android.
Biến thể mới của phần mềm độc hại Wroba.o/XLoader cho Android được phát hiện bởi họ các nhà nghiên cứu kaspersky, các người đã theo dõi hoạt động phát sóng của Mantis trong nhiều năm. Kaspersky giải thích rằng Bọ ngựa chuyển vùng sử dụng phương pháp của mình Chiếm quyền điều khiển DNS ít nhất là từ năm 2018, nhưng yếu tố mới trong bản phát hành gần đây là phần mềm độc hại nhắm mục tiêu đến các bộ định tuyến cụ thể.
Chiến dịch mới nhất sử dụng phần mềm độc hại được cập nhật này nhắm mục tiêu đến các mẫu bộ định tuyến WiFi cụ thể được sử dụng chủ yếu trong Hàn Quốc. Tuy nhiên, tin tặc có thể thay đổi nó bất cứ lúc nào để bao gồm các bộ định tuyến khác thường được sử dụng ở các quốc gia khác.
Cách tiếp cận này cho phép chúng thực hiện nhiều cuộc tấn công nhắm mục tiêu hơn và chỉ xâm phạm những người dùng và khu vực cụ thể, tránh bị phát hiện trong tất cả các trường hợp khác.
trước Roaming Mantis tấn công người dùng mục tiêu từ Nhật Bản, Áo, Pháp, Đức, Thổ Nhĩ Kỳ, Malaysia và Ấn Độ.
Trình phân giải DNS bộ định tuyến mới
Phiên bản mới nhất của nó Bọ ngựa chuyển vùng sử dụng tin nhắn SMS lừa đảo (smishing) để hướng các mục tiêu đến một trang web độc hại.
Nếu thiết bị của người dùng là Android, nó sẽ yêu cầu người dùng cài đặt một APK độc hại, được tải với phần mềm độc hại Wroba.o/XLoader, trong khi ngược lại với người dùng Apple iOS, trang đích sẽ chuyển hướng người dùng đến một trang lừa đảo cố lấy cắp thông tin đăng nhập.
Khi phần mềm độc hại XLoader được cài đặt trên thiết bị Android của nạn nhân, nó sẽ lấy địa chỉ IP cổng mặc định từ bộ định tuyến WiFi được kết nối, sau đó cố gắng truy cập menu quản trị của bộ định tuyến bằng mật khẩu mặc định để khám phá kiểu thiết bị.
XLoader Kiểm tra kiểu bộ định tuyến WiFi (Kaspersky)
XLoader bây giờ có tính năng 113 chuỗi mã hóa cứng với mã được sử dụng để thăm dò các kiểu bộ định tuyến WiFi cụ thể – và nếu tìm thấy sự trùng khớp, phần mềm độc hại sẽ tiến hành hack DNS bằng cách thay đổi cài đặt của bộ định tuyến.
Phần mềm độc hại thực hiện thay đổi DNS trên bộ định tuyến (Kaspersky)
Η Kaspersky nói rằng Trình thay đổi DNS sử dụng thông tin xác thực mặc định (quản trị viên / quản trị viên) để truy cập bộ định tuyến, sau đó thực hiện các thay đổi đối với cài đặt DNS bằng các phương pháp khác nhau tùy thuộc vào kiểu máy được phát hiện.
Các nhà phân tích cũng giải thích rằng máy chủ DNS được sử dụng bởi Bọ ngựa chuyển vùng, chỉ thay đổi một số tên miền thành một số trang đích nhất định khi được truy cập từ Điện thoại thông minh.
Sự lây lan của nhiễm trùng
Với cài đặt DNS trên bộ định tuyến hiện đã thay đổi, khi các thiết bị Android khác kết nối với mạng WiFi, chúng sẽ tự động được chuyển hướng đến trang đích độc hại và được nhắc cài đặt phần mềm độc hại.
Thực tế này tạo ra một dòng thiết bị bị nhiễm liên tục tấn công thêm các bộ định tuyến WiFi sạch khác trong các mạng công cộng, phục vụ một lượng lớn người dân trong nước.
Η Kaspersky cảnh báo rằng tính năng này mang lại cho nhóm Roaming Mantis khả năng mở rộng một cách nguy hiểm, cho phép phần mềm độc hại lây lan mà không được kiểm soát.
Mặc dù không có trang đích nào nằm trên Hoa Kỳ và Roaming Mantis dường như không tích cực nhắm mục tiêu các mô hình bộ định tuyến đang được sử dụng trong nước, số liệu thống kê của nó Kaspersky cho thấy rằng 10% nạn nhân của XLoader là ở Hoa Kỳ.
Người dùng có thể tự bảo vệ mình khỏi các cuộc tấn công của nó Bọ ngựa chuyển vùng tránh nhấp vào các liên kết nhận được qua SMS, tuy nhiên, thậm chí còn quan trọng hơn tránh cài đặt APK bên ngoài Cửa hàng Google Play.
Các bạn đừng quên theo dõi nhé Xiaomi-miui.gr tại Google Tin tức để được thông báo ngay lập tức về tất cả các bài viết mới của chúng tôi! Bạn cũng có thể nếu bạn sử dụng trình đọc RSS, hãy thêm trang của chúng tôi vào danh sách của bạn, đơn giản bằng cách nhấp vào liên kết này >> https://news.xiaomi-miui.gr/feed/gn
Theo dõi chúng tôi tại Telegram để bạn là người đầu tiên tìm hiểu mọi tin tức của chúng tôi!
