Исследователи из Proofpoint фиксируют всплеск malvertising-кампаний, нацеленных на раздачу эксплойтов из набора DNSChanger. Этот эксплойт-пак примечателен тем, что ориентирован на уязвимости в роутерах; на настоящий момент в его базе содержатся 166 отпечатков разных сетевых устройств, в том числе производимых D-Link, Netgear, Pirelli и Comtrend. Эксперты призывают вендоров атакуемых роутеров как можно скорее обновить прошивки.

Уязвимости в роутерах Netgear, о которых недавно предупреждала американская CERT/CC, в арсенале DNSChanger не обнаружены. Согласно Proofpoint, эксплуатация в данном случае осуществляется с активным использованием браузера жертвы. Полагаясь на уязвимости в роутерах, DNSChanger чаще всего работает через браузер Chrome, установленный на ПК Windows или на Android-устройстве. Тем не менее, если роутер скомпрометирован, атака может распространиться на всех подключенных к нему пользователей, независимо от их ОС и типа браузера.

Атака с использованием DNSChanger начинается с клика по вредоносной рекламе, размещенной на популярном сайте. В результате отработки внедренного в баннер JavaScript-кода посетитель перенаправляется на страницу, проверяющую его IP-адрес. Для этого подается запрос по протоколу WebRTC к серверу STUN Mozilla (stun.services.mozilla[.]com), возвращающему адрес общего доступа клиента NAT, тип NAT и порт Интернета, связываемый с локальным портом. Эта информация обычно используется для настройки связи UDP между клиентом и внешним провайдером VoIP, но в данном случае позволяет злоумышленникам установить локальный IP-адрес потенциальной мишени.

Если этого IP нет в списке атакуемых диапазонов, пользователю отображается легитимная реклама. В противном случае его перенаправляют на лендинг-страницу DNSChanger, прикрывая редирект фальшивой картинкой (в формате .png). DNSChanger вновь проверяет локальный IP-адрес жертвы запросом к STUN и загружает много разных функций, а также ключ AES, сокрытый в небольшом изображении с помощью стеганографии.

Этот ключ используется для расшифровки списка отпечатков уязвимых устройств, после чего браузер жертвы пытается отыскать и идентифицировать роутер, используемый в сети. «Проведя разведку, браузер отчитывается перед DNSChanger, который возвращает инструкции, необходимые для проведения атаки на роутер», — поясняют исследователи.

«С браузером Chrome все в порядке, это роутер содержит уязвимости, которые можно эксплуатировать, — уточнил Патрик Уилер (Patrick Wheeler), директор Proofpoint по аналитике интернет-угроз. — Поскольку браузеру приходится «разговаривать» с роутером, через который клиент соединяется с Интернетом, легитимный трафик/соединения можно использовать для подмены DNS-настроек роутера. Браузер при этом делает то, что и должен делать: ведет обмен с роутером и в итоге получает от него данные DNS».

Не обнаружив роутер в расшифрованном списке, эксплойт-пак пытается использовать дефолтные идентификаторы, чтобы изменить DNS-записи. Если же устройство содержит уязвимость, DNSChanger пускает в ход эксплойт, меняет настройки DNS и при наличии возможности открывает порты для удаленного администрирования.

Как удалось установить, целью подмены DNS в данном случае является кража трафика у крупных рекламных агентств, в частности Propellerads, Popcash и Taboola. «На время проведения анализа они перенаправляли трафик на Fogzy (a.rfgsi[.]com) и TrafficBroker», — пишут исследователи.

Судя по некоторым признакам, DNSChanger, по словам Уилера, используется также в MitM-атаках. «Мы не исключаем возможность и другой вредоносной активности в дальнейшем, — добавил собеседник Threatpost. — Все зависит от мотивации или целей тех, кто контролирует этот эксплойт-пак».

Простого рецепта против DNSChanger исследователи пока не видят, но считают, что лучшей защитой от эксплойта является своевременный выпуск патчей и их оперативная установка на местах. Proofpoint также рекомендует сменить дефолтный диапазон локальных IP-адресов, отключить функцию удаленного администрирования на SOHO-роутерах и использовать блокировку рекламы в браузере.

Категории: Аналитика, Вредоносные программы, Главное