Эксперты Trend Micro обнаружили новый эксплойт-пак, который атакует домашние роутеры. Первые кампании вредоноса были направлены на жителей Бразилии, однако с октября 2018 года он распространил активность и на другие страны.

Набор эксплойтов получил название Novidade (от порт. «новинка») — так озаглавлены страницы, на которые организаторы кампаний заманивают своих жертв. Преступники продвигают площадки с эксплойтами с помощью целого набора различных техник: от вредоносных рекламных баннеров и рассылок в мессенджерах до внедрения своего кода в легитимные интернет-страницы.

Так, в одном случае злоумышленники использовали тему президентских выборов, которые состоялись в Бразилии в октябре 2018 года. Жертвы через мессенджеры получали приглашение к участию в опросе общественного мнения, в страницу которого был внедрен зловред. Организаторы также обеспечили себе дополнительный вектор распространения: в конце опроса пользователей просили отправить ссылку на сайт 30 своим знакомым, чтобы узнать результаты анкетирования.

Исследователи рассказали, что при переходе на лендинг-страницу Novidade дальнейшая атака развивается автоматически. Сначала страница отправляет несколько HTTP-запросов на локальные IP-адреса, которые традиционно занимают роутеры. При успешном соединении на точку доступа загружается весь набор эксплойтов в зашифрованном виде. Если хоть один из них отработал, производится попытка авторизации с помощью заводских учетных данных сетевого устройства.

В случае успеха выполняется атака межсайтовой подделкой запросов (Сross Site Request Forgery) с целью подмены DNS-сервера. После этого преступники могут перехватывать сетевые запросы от всех устройств, которые подключаются к скомпрометированному роутеру.

В результате они смогут, например, подменить страницу онлайн-банка и похитить введенные логин и пароль пользователя. Именно по такому сценарию развивались первые атаки в августе 2017 года, и на данный момент учетные данные на сайтах кредитных учреждений остаются одной из главных целей злоумышленников. Однако за прошедшее время преступники доработали код Novidade и расширили его применение.

Технологические изменения коснулись посадочных страниц эксплойт-пака. Разработчики второго варианта добавили в код JavaScript-обфускатор, позволяющий менять оформление страницы в зависимости от конкретной атаки. Третья версия научилась определять локальный IP-адрес жертвы, отправляя запрос STUN-серверу по протоколу WebRTC. Она также использует короткие ссылки, чтобы отслеживать статистику заражений.

В последнее время преступники применяют вторую и третью версии Novidade. В частности, именно второй вариант был задействован в недавних атаках ботнета GhostDNS. В ходе самой крупной кампании, которую удалось обнаружить как раз через ссылку со статистикой, за девять месяцев набор эксплойтов был отдан 24 млн раз.

Столь активное применение Novidade в не связанных между собой атаках позволило исследователям предположить, что его используют одновременно несколько группировок. Об этом же говорит и географическая экспансия, которую эксперты наблюдают в последние месяцы. По словам аналитиков, разные преступники могут либо платить вирусописателю за аренду, либо использовать собственную копию Novidade после утечки исходного кода.

Чтобы защититься от подобных угроз, эксперты рекомендуют вовремя обновлять прошивку роутеров. При первом включении желательно сменить не только заводские учетные данные, но и дефолтный IP‑адрес. Наконец, необходимо запретить удаленный доступ к устройству и использовать HTTPS при подключении к онлайн-банкам и прочим важным ресурсам.

Категории: Вредоносные программы, Хакеры