Trojaans paard kaapt wifi-routers en wijzigt DNS-instellingen
Een Trojaans paard dat op dit moment actief is blijkt over het internet wifi-routers aan te vallen en vervolgens de DNS-instellingen te wijzigen zodat ook andere computers met de malware besmet kunnen worden. De malware heet Rbrute en gebruikt een woordenboekaanval om op wifi-routers in te loggen.
Op Windowscomputers die met Rbrute zijn geïnfecteerd scant de malware eerst een reeks van IP-adressen. Het Trojaanse paard kan van verschillende fabrikanten de routers aanvallen. Het gaat om de DSL-2520U en DSL-2600U van D-Link, de TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N en TD-W8101G van TP-Link en de ZXV10 W300, ZXDSL 831CII van ZTE.
Zodra de malware een IP-adres vindt waarop kan worden ingelogd, wordt er een woordenboekaanval uitgevoerd. Hiervoor gebruikt Rbrute de gebruikersnamen 'admin' of 'support', gecombineerd met allerlei wachtwoorden. Als de malware op de router kan inloggen worden vervolgens de DNS-instellingen gewijzigd. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen.
Dit zorgt ervoor dat gebruikers van de router, zodra ze er verbinding mee maken en een website willen bezoeken, naar een kwaadaardige website worden doorgestuurd. Deze website biedt zogenaamd een versie van Google Chrome aan, maar in werkelijkheid gaat het om malware genaamd 'Sector'. Sector kan op besmette computers weer de Rbrute Trojan downloaden, waarna de cyclus zich herhaalt, zo meldt het Russische anti-virusbedrijf Dr. Web.
Wat ik niet snap is waarom ze zich tot deze lijst van routers beperken. Ze maken namelijk geen gebruik van zwakheden van de router, alleen maar van het feit dat zwakke wachtwoorden gebruikt zijn.
Dit is uiteraard omdat de trojan de menu's van zo'n router moet doorlopen om de settings te veranderen, en die menu's zijn in elke routerversie weer anders.
http://www.onlinewachtwoordgenerator.nl/
Ik gebruik altijd deze: *dt5'u~+`v%5@s/T=-C,`bjpr@8&}ld/y,D@AkRI':=@6pri?`C'/N$R.RvGn_Es
http://www.onlinewachtwoordgenerator.nl/
Ik gebruik altijd deze: *dt5'u~+`v%5@s/T=-C,`bjpr@8&}ld/y,D@AkRI':=@6pri?`C'/N$R.RvGn_Es
Niet handig om altijd dezelfde te gebruiken :D
http://www.onlinewachtwoordgenerator.nl/
Ik gebruik altijd deze: *dt5'u~+`v%5@s/T=-C,`bjpr@8&}ld/y,D@AkRI':=@6pri?`C'/N$R.RvGn_Es
Niet handig om altijd dezelfde te gebruiken :D
Juist wel heel handig. Echter niet zo slim!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
