1015
Вредоносная реклама теперь нацелена не на браузеры, а на роутеры
137 Комментариев в Информационная безопасность  

Вредоносными рекламным кампаниями сегодня трудно кого-либо удивить, но специалисты Proofpoint обнаружили новую тенденцию в данной области. Теперь злоумышленники нацеливаются не на браузеры пользователей, а на их роутеры. Итоговая цель атакующих – внедрить рекламу в каждую страницу, которую посетит зараженная жертва. Интересно, что данная кампания ориентирована не на пользователей IE, как это бывает чаще всего, но на пользователей Chrome (как десктопной, так и мобильной версии).

Вредоносная реклама теперь нацелена не на браузеры, а на роутеры вредоносная реклама, вирус, атака, роутер, механизм, длиннопост

Действуют хакеры следующим образом: на легитимных сайтах покупаются рекламные места для размещения объявлений. Для этого атакующие используют рекламные сети AdSupply, OutBrain, Popcash, Propellerads и Taboola. В объявление встраивается вредоносный JavaScript-код, который использует WebRTC-запрос к Mozilla STUN-серверу, чтобы узнать локальный IP-адрес жертвы. Основываясь на этой информации, вредонос определяет, управляется ли локальная сеть пользователя каким-либо домашним роутером. Если ответ положительный, атака продолжается. Если же нет, пользователю показывают обычную, безвредную рекламу, и он избегает неприятностей.


Владельцам роутеров показывают совсем не безобидные объявления. Реклама переадресует их прямиком к эксплоит киту DNSChanger, который продолжает атаку. Используя стеганографию, атакующие отправляют роутеру жертвы изображение, в котором содержится AES-ключ. Вредоносная реклама использует данный ключ для дешифровки дальнейшего трафика, получаемый от DNSChanger. Так злоумышленники скрывают свои операции от внимания ИБ-специалистов.


Поле получения AES-ключа, DNSChanger передает жертве список отличительных черт 166 роутеров (включая различные модели Linksys, Netgear, D-Link, Comtrend, Pirelli и Zyxel), опираясь на который устанавливается типа роутера, который затем передается на управляющий сервер злоумышленников. На сервере лежит список уязвимостей и жестко закодированных учетных данные от различных устройств, которые и используются для перехвата контроля над роутером жертвы. Специалисты Proofpoint отмечают, что в некоторых случаях (если модель устройства позволяет), атакующие стараются создать внешнее подключение к административному порту роутера и перехватить управление напрямую.

Вредоносная реклама теперь нацелена не на браузеры, а на роутеры вредоносная реклама, вирус, атака, роутер, механизм, длиннопост

Если хакерам удалось получить контроль над устройством, они подменяют DNS-серверы и всю легитимную рекламу своей собственной, а также встраивают рекламу на сайты, где ее не было вовсе.


Единственный способ избежать подобных проблем – не использовать дефолтные учетные данные для роутера, отключить удаленный доступ к панели управления (если это возможно), а также обновить прошивку устройства до последней версии, чтобы закрыть уязвимости и избежать эксплоитов, которые применяет DNSChanger.

Источник: https://xakep.ru/2016/12/14/dnschanger-attack-routers/

+95
 RoughHog отправил

Мой роутер интернет то не всегда пускает в дом не говоря уже о какой то рекламе.

+67
 gumka отправлено
admin
admin1
выглядит надежно
+31
 BOMBERuss отправил

1234

12345

123456

...

qwerty

qwertyu

qwertyui

...

qwerty1234

qwerty12345

Еще надежнее

+13
 Kiskanen отправил
- Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай.., и повторяй по буквам.
Чего он тянет...
Чингиз выдыхает и ледяным голосом произносит:
- Сорок тысяч обезьян в жопу сунули банан.
Темный Дайвер сгибается от беззвучного хохота...

"Лабиринт Отражений" Лукьяненко.
+21
abacus отправил

Login: login Password: password Верх надёжности!

раскрыть ветвь 10
+7
 MyxuH47 отправил
раскрыть ветвь 3
+6
 kliMaster отправил

Login: your

Pass: bunnywrote

+2
 wwanka отправлено
Страшилки для юзверя xakep рип
0
RedKa отправлено
+3
YoursCrafter отправлено

Гляньте на пост: default credentials -выглядит аппетитно! Вот вам сиквелы.


"Давайте сделаем безопасный пароль и сохраним его в эксельчике на шаре".

"1234567890...Чёрт, циферки кончились!"

"Ой, а чего такой сложный, я ж не запомню!"

"Пусть ломают, честным людям скрывать нечего."

+26
 RezinovyiBUI отправлено

наверно скоро в биос начнут рекламу пихать и по тихому его переписывать, не, ну а чо? На современных материнках биос вообще без проблем переписывается

+12
q000p отправил

Ну да, только он уже не биос а UEFI

+3
 eleikodebil отправил
Кейлоггеры уже есть.
+35
darthmau1 отправил

недефолтная учетка, 20значный пароль с регистрами - удачи во взломе

+65
PETROVIVANOV отправлено

на тебя 1 найдется 99 с дефолтным.


а вообще тема сложная.. можно сказать после столько проделанной работы считай честно заработал))

+9
 TheAlex11x отправлено
И то не факт что роутер не дырявый
раскрыть ветвь 3
+2
 NOEXCESS отправил

Как я, который даже не знает что это такое - недефолтная учетка

раскрыть ветвь 1
+7
admin4862 отправлено

а прошивки обновляешь ? ) инчае толку то от твоего пароля ....

+11
 elfl0rd отправил

А зачастую и прошивку не обновить или обновлений нет...

Привет ростелеком, мгтс, тп-линк и д-линк.

раскрыть ветвь 8
+4
q000p отправил

Ты просто не подозреваешь сколько дырявых роутеров.

Один раз просканировал сеть провайдера на предмет дырявости роутеров пользователей - волосы дыбом встали. Это я так сказать "снаружи зашел"

А сколько роутеров и ломать не надо, пароль в браузере сохранён.

+2
YoursCrafter отправлено

http://www.opennet.ru/opennews/art.shtml?num=45669

Умный в гору не пойдёт, умный юзает бэкдор.


P.S.: Велком ту https://openwrt.org

0
 Gothmoth отправлено

... и тут фигак. на предшествующий роутер провайдера залезла бяка

+6
 OsGreenCat отправил

У кого-то из моих соседей уже несколько лет роутер без пароля и админка с дефолтными логином/паролем. Им видимо и так норм.

+11
 MyxuH47 отправил

Ездил к друзьям в Н.Тагил. Подключаясь к wi-fi, обнаружил незапароленую сеть, но со слабым сигналом. Устойчива была, когда лежишь на полу. Стало быть этажами двумя ниже.
Захожу к ним в локалку, нахожу в документах телефон владелицы и звоню, обращаясь по ФИО: - Я такой-то такой-то, у вас wi-fi сеть называется так-то? Соглашаются. Я им говорю, что у них нет пароля и что все файлы на ПК просматриваются (причем там сохранены банковские данные и другая конф. инфа). Мне в ответ: - Да не можете вы просмотреть. У нас интернет по IP.

Э..э..э, что сказать? Попытался объяснить, но меня не стали слушать. Создал на их ПК файл и написал капсом "Опасность! Срочно поставьте пароль на wi-fi". Минут на 20 отключали роутер и потом снова сеть была доступна.

+7
 BOMBERuss отправил

Да запулил бы им вредоносный .batник с веселой надписью- "нажать срочно" и т.д.

раскрыть ветвь 1
+2
 EMIAS отправил

И вот таким не очень хитрым способом твой сосед знает все твои пароли и данные о картах. Ты же наверняка что-то покупал в интернете.

0
 OsGreenCat отправил

Прям зашел, посмотрел а у меня всё украли?

Я склонен тут руководствоваться Бритвой Хэнлона.

+9
nickemn отправлено

Ловил на роутер Zyxel где-то полгода назад. Каюсь сам виноват. Пароль от админки не сменил, и порт снаружи был открыт. Тогда они ограничились прописыванием своего днс с рекламкой.  Был удивлен тогда.

+8
dzubeikibagami отправлено
порт снаружи был открыт

как я понимаю эту схему, весь цимес в том, что запрос идёт от хоста внутри сети, а не извне, поэтому файрвол не поможет

-3
 Marksson отправил

Своего рода "Пятая колонна", да?)

(прост я гуманитарий, мне так понятнее)

раскрыть ветвь 1
+3
 uglyneighbour отправлено
Каюсь сам виноват. Пароль от админки не сменил, и порт снаружи был открыт.

Петя, 32 годика, администратор "Почты России"

+1
 BOMBERuss отправил
+2
Enf1eld отправлено

Я на свой Netis летом тоже поймал подобную вирусню, хотя пароль был сменен. Решил сбросом на заводские настройки.

+3
 vezbr отправил
как проверить можно?
раскрыть ветвь 1
0
r1Forest отправлено

ДНС-ки и через комп прописывают - сначала вредоносное ПО попадает на комп, затем перебирает стандартные пароли на роутер, затем прописывает там левые днс. Где-то на ксакепе была статья, или на гиктаймс.

0
Dss4 отправлено
С открытым наружу портом сидеть, это как голой жопой на улицу. Не надо так.
+6
 fffu отправлено

Единственный способ избежать подобных проблем – бла-бла-бла, буллшит бинго, спагетти на уши...


Для Chrome давно уже есть аддон uMatrix, который эту угрозу и подобные "неотвратимые ужасы" на раз отсекает, а рекламные сети пускает по бороде раньше, чем адблоки начинают что-то подозревать.

+2
vays отправил

Интересно. Он немного иначе себя ведёт, чем его "предок" HTTP Switchboard. Но фильтров меньше "из коробки", чем у предка.

Главное не спутать его с UMatrix.

+3
vays отправил

И очень увлекательно угадывать, например, что убисофту (чтоб показать окно ввода логина/пароля) кроме очевидных дефолтнозаблокированных фреймов и XHR со своих поддоменов нужен скрипт с www.google.com. Это не говоря про совсем очевидные jquery и облако akamai. Но и этого мало, чтоб залогиниться.

раскрыть ветвь 4
0
 Efed отправил

Подскажите, нужно настраивать этот аддон? Там во вкладке Приватность настройки. Например "Очищать кэш браузера каждые" это ведь не очень удобно, все данные логин\пароль на сайтах нужно будет вводить каждый раз при входе?

0
 fffu отправлено
Не обязательно, плагин нормально работает и без донастройки. Очистка кэш браузера не удаляет пароли, она удаляет кэшированные страницы, картинки, скрипты и тому подобное из временной папки браузера.
+2
 Steelycrack отправил
Я тут чутка дерьма на пк словил, постоянно открывает левые сайты. Ставил уже туеву хучу всяких чистилок, но отрубаешь одну голову - вырастают две. Что можно сделать без пеоеустановки винды?
+1
 Haniani отправила
Ну если это, что то вроде того, что написано в посте, то переустановка винды и не поможет.
Можно попробовать обновить прошивку роутера, сменить дефолтный пароль на нём.
+1
 volodiavovochka отправил
А как её обновить? Просто никогда с этим не сталкивался, это мой первый раз
раскрыть ветвь 2
+1
 Steelycrack отправил
Не, все на уровне хрома.
раскрыть ветвь 1
+2
vays отправил
Владельцам роутеров показывают совсем не безобидные объявления. Реклама переадресует их прямиком к эксплоит киту DNSChanger, который продолжает атаку. Используя стеганографию, атакующие отправляют роутеру жертвы изображение, в котором содержится AES-ключ. Вредоносная реклама использует данный ключ для дешифровки дальнейшего трафика, получаемый от DNSChanger. Так злоумышленники скрывают свои операции от внимания ИБ-специалистов.

Какое-то сильное колдунство особенно учитывая, что автора DNSChanger'а в 2011 арестовали и недавно посадили. И механизм атаки не описан. Филькина грамота какая-то.

А вот, похоже, оригинал https://www.bleepingcomputer.com/news/security/malvertising-...

+6
vays отправил

Нет, серьёзно. Чем злоумышленники исполняя некий (js?) код в браузере могут достать роутер?

+5
 blazer404 отправил

ну вот к примеру дырка d-link. исполняется без всяких .js обычным post-запросом. а дальше полный доступ к админке

раскрыть ветвь 7
+1
 bbastard отправлено

js только первая часть атаки, нужен только для определения, у потенциальной жертвы есть роутер или нет.

-2
 wolf2012 отправил

БРЕД. ПОЛНЕЙШИЙ. Найти уязвимость и запилить об этом пос. Верх добоебизма.

+1
NeedNotApply отправлено

сижу за pfsense и не понимаю о чем собственно речь? Недавно видел статью про то как у настольных говнороутеров оказался! открытым УЭБ интерфейс на порт WAN.

+1
 BOMBERuss отправил
+1
 TirelEngel отправил
Роутер у девушки ловил такую хрень с полгода назад.
Вот я охеревал от такой дичи) Но справился)
+1
unflappable995 отправил

по умолчанию удаленный доступ отключен, т.е. на роутер в веб интерфейс фиг попадешь, отсюда или используют какую либо уязвимость или уязвимость создают сами пользователи, я склоняюсь к тому что пользователи меняют настройки

+1
oretop отправлено
у меня роутер от одного известного провайдера.Он залочен, и для того что бы перепрошить его, нужно разкулопать, выпаять чип, купить новый, купить usb програматор, скачать оф. дамп файл, залить его и вконце запаять все назад... бля ну я не знаю... Если у них что то получится, я хочу знать как!!
+1
 TSDCube отправил

Список дырявых роутеров есть у кого?

0
 BOMBERuss отправил

Спроси у Shodan

+1
simius отправил

А когда-то меня жестоко минусили за высказывания, что причиной рекламы на сайтах может быть именно роутер, а не комп. Надеюсь, те люди понахватают проблем со своими д-линками.

+1
 likivid отправлено

А прошивы от ддврт подвержены этой шляпе?

0
 amebka отправил

если там можно настроить днс или пролезть в командную строку ОС, то вполне)

+1
 kurvometr отправил
У меня такая хрень была. На специализированных сайтах искали ответы и таки нашли. Там програмку специальную запускаешь и она удаляет вирус. Еблись с этим наверное месяца два. Все что можно было переустанавливали, оказалось роутер заражен.
+1
 AvroraS отправила

А где можно скачать программку? У меня походу роутер заражен

+1
 kurvometr отправил
Сегодня дома поищу, если что найду-отпишусь
+1
 a1one отправлено
На дир 300 с ддврт ловил, хотя и логин-пароль был не дефолт,и айпи менял. Просто не надо тыкать в лишние детали)
+1
PaulKonoplev отправлено
dein0s наверное юзает девайс под названием "ревизор")))) хотя малость не то.
Подробнее о железке
https://m.geektimes.ru/post/267310/
0
 BOMBERuss отправил
+1
Evgeniusis отправил

Почему если заходить на ask.fm с телефона, то сразу редиректит на какую то херь? Проверенно и с wifi (beeline), и просто с симкой (МТС). Не думаю, что модераторы этого сайта добавили бы настолько уродливую рекламу сами

+1
 Ktotodrugoy отправлено

а вот это интересненько...

0
 Zanus отправил

Интересно а этих горе-специалистов не смущает что ботнеты на роутерах стали массовыми уже лет 8 как. Сменить пароли не достаточно, во многих прошивках есть уязвимости с помощью которых можно обойти авторизацию или сбросить пароль. Причем закрыть вход из WAN тоже не поможет, был червь название которого я не помню, который заражал роутеры и другое оборудование из локальной сети и потом самоустранялся.

0
unflappable995 отправил

так и дело то в том что из локальной, да внутри локалки там и париться то нефиг, а вот получить доступ из вне эт хз, роутер по умолчанию все отсекает, опять же по wi-fi на некоторых роутерах в веб интерфейс не попадешь, в общем шансы взломать есть но зависит от самих пользователей

0
 pulyan отправлено
Так стоп. То есть я прочитал этот весь этот длинный текст, только для того, чтобы узнать, что эта архистрашная угроза фигня, если я всего лишь сменил стандартную пару админ/админ?
+2
Suportik отправил

Только в случае если у твоего роутера нет уязвимостей, которые в 1ую очередь и используются

+1
 BOMBERuss отправил

Не совсем...

0
 bond43 отправлено

То есть всякие адблоки еще и от подобного говна оберегают?

+2
1989aiaiai отправлено
Вряд ли
-2
 fffu отправлено
Таки да.
-1
abithappyman отправлено

Хорошая попытка, Microsoft

-1
akelot отправил

Почему эта статья выглядит как новость? Я такое видел еще в году, наверное в 2010.

Одна небольшая организация, занимали два кабинета по соседству, работали там три девицы под окном, и пацан бухгалтер. Общались хорошо, и я даже пользовался их инетом. Я не был сисадмином, а от имевшегося на работе толку не было, и ждать, когда протянут из одной части этажа в другой, не хотелось, а тут у девок готовый, и они не против, всего-лишь одна дырка в стене и проблем никаких. Так и пользовался, пока в один момент не заметил, что все страницы в интернете засраны рекламой, которой там быть не должно. Естественно начал искать проблему у себя, и разумеется ничего не нашел. Зашел к девчонкам, смотрю сидят в одноклассниках, вся страница в рекламе. На мое замечание об этом, ответили, что посчитали, что так и должно быть и не обращают внимание, а так уже несколько дней (мне было не интернета, и я только электронку получал, потому я только через несколько дней увидел это безобразие).

Из разговора узнал, что пароль должен быть стандартный, те кто настраивал, ничего не меняли. Решил зайти посмотреть настройки, но не смог, пароль был сменен. Пришлось сбрасывать и перенастраивать. Роутер был TP-Link, и это единственный случай, когда я такое видел, за эти годы. Но еще пару раз встречал поменянные dns настройках сети в винде. Теперь, когда меня просят почистить комп от рекламы, первым делом проверяю dns, и только потом начинаю углубляться.

0
 BOMBERuss отправил

А статья выглядит как новость потому что в статье описано как вредоносный скрипт, внедренный в рекламное изображение атакует роутер, а не браузер, как раньше.

А то что пароль у Вас на работе дефолтный- это сисадмин лошара. И раз от него толку нет, нужно было самим позаботиться о безопасности рабочих станций.

-1
 methoodman отправил

Это на столько древнее дерьмо что уже протухло, а они только обнаружили.

-1
 Simo отправлено

Лет 5 назад еще программы в свободном доступе видел которые дефолтные логины и пароли подставляют к любому набору ip адресов. Друг говорит, что они до сих пор работаю отлично и в принципе такие атаки могут проводить более менее образованные школьники от 16 лет.(Благо инструкций в интернете навалом) Так что, чет специалисты Proofpoint довольно слоупочные.

+2
 gosubl отправлено

Примитивный брутфорс такой примитивный.

-2
 krolit отправил
Очень тупорылый перевод. Ксакепу совсем пополнело похоже и они перешли на Гугл транслейт :-)

"...жестко закодированные учетные данные..." это видимо "hardcoded credentials" в оригинале ;-)
-2
 L0rdwind отправлено

Пусть попробуют взломать мой pfSense (злобный смех за кадром)

-2
 dein0s отправил

В целях развлечения под стакан пенного я бы хотел посмотреть, как этот гомункул будет воевать с моим роутером, который по дефолту фильтрует рекламные хосты и еженедельно обновляется из публичных списков :D

Однако...

+4
 nemotec отправил

@dein0s, тут очередь уже. Сколько Вас ждать можно? Я буду жаловаться в регистратуру!

+3
 dein0s отправил

Сорян, был далеко за городом и без доступа к сети :)
Железка Mikrotik CRS109.
Идею брал из статьи https://habrahabr.ru/post/264001/ и перепиливал под себя, т.к. проц не справлялся с добавлением по одной записи из списка с 35к+.

раскрыть ветвь 3
+3
spaceshooter отправил

@dein0s, поделитесь, пожалуйста, моделью роутера, очень хочется узнать, что это за зверь такой

+1
 willkillsome отправлено
Не знаю, что у него, а у меня tp-link 1043nd с прошивкой gargoyle (вариант open-wrt) и плагином adblock. Работает, конечно, хуже, чем версия для компа, но на нерутованных андроидах рекламы значительно меньше.
Да и сам роутер работает лучше.
+1
 leogv219 отправил
Микрот же, скорее всего. Где-то на хабре был пост, как провернуть этот трюк.
+1
 wearycynic отправил
А ещё ip бы..
+1
 bananzu отправил

Поподробнее можете рассказать про своего монстра?



Пожалуйста, войдите в аккаунт или зарегистрируйтесь