Французский исследователь Kafeine обнаружил эксплойт-пак, предназначенный для определения типа маршрутизатора жертвы и смены настроек DNS. В дальнейшем жертва перенаправляется на посадочные страницы, загружающие на ее компьютер вредоносное ПО с применением различных уязвимостей.

Kafeine опубликовал исследование, в котором описал историю обнаружения нового хакерского инструмента. «В апреле, изучая страницу перенаправления, связанную с некоей деятельностью Sweet Orange, я зашел на TDS (Traffic Direction System, система направления трафика), который почему-то не соответствовал обычному критерию наличия побочной загрузки (US, EU, JP,.. Intenet Explorer, Firefox…), — написал исследователь. — Я попытался зайти с Android, но также не получил результата. Подключаясь через Chrome, я ожидал загрузки вымогателя Browlock, но вместо этого я получил нечто похожее на CSRF (кросс-сайтовую подделку запроса) Soho Pharming (атаку смены настроек DNS в маршрутизаторе)».

Исследователь проследил за развитием обнаруженного эксплойт-кита. Спустя несколько дней его код значительно усложнился, появилась обфускация, расширился список эксплойтов и опознаваемых маршрутизаторов. Некоторые используемые эксплойты были относительно свежими, некоторые — давно известными. «Отметьте, что прошивки маршрутизаторов не обновляются автоматически, так что если мы редко видим эксплойты более чем трехлетней давности в браузерных эксплойт-паках, то для роутеров они все еще могут быть полезны», — написал Kafeine.

Получив доступ к настройкам роутера, эксплойт-пак подменяет первичный DNS-сервер на вредоносный, а вторичный — на DNS Google, чтобы не вызвать подозрений у жертвы, если с DNS-сервером хакеров что-нибудь случится. Посредством этого жертва незаметно направляется на сервер, который может, к примеру, содержать браузерные эксплойт-киты.

В своем исследовании Kafeine приводит список поддерживаемых экcплойт-паком маршрутизаторов:

  • ASUS AC68U
  • ASUS RTN56U & ASUS RTN10P & ASUS-RTN66U & ASUS-RT56-66-10-12
  • ASUS-RTG32
  • BELK-PHILIPS (?)
  • BELKIN F5D7230-4
  • BELKIN F5D8236-4V2
  • BELKIN F9k1105V2
  • BELKIN-F5D7231-4
  • BELKIN-F5D7234-4
  • D’LINK DIR-600
  • D’LINK DIR-604
  • D’LINK DIR-645
  • D’LINK DIR-810L & DIR-826L & DIR-615 & DIR-651 & DIR-601 & WBR1310 & D2760
  • D’LINK DSLG604T
  • D’LINK-DIR-2740R
  • EDIMAX BR6208AC
  • LINKSYS BEFW11S4 V4
  • LINKSYS L120
  • LINKSYS WRT54GSV7
  • LINKSYS-BEFW11S4 V4
  • LINKSYS-LWRT54GLV4
  • LINKSYS-WRT54GV8
  • LINKSYS-X3000
  • LINSYS L000
  • Medialink WAPR300N
  • Microsoft MN-500
  • NETGEAR DGN1000B & DG834v3 & DGN2200
  • NETGEAR WNDR3400
  • NETGEAR-DGN1000 & NETGEAR-DGN2200
  • NETGEAR-WNR834Bv2
  • NETGEAR-WPN824v3
  • NETIS WF2414
  • Netis WF2414
  • TENDA 11N
  • TPLI ALL
  • TPLI-WR940N & WR941ND & WR700
  • Trendnet E300-150
  • TRIP-TM01
  • TRIP-TM04
  • Trendnet TW100S4W1CA
  • ZYXEL MVR102
  • ZYXEL NBG416
  • ZYXEL-NBG334W

Категории: Вредоносные программы, Уязвимости