Onlangs liet een bekende beveiligingsonderzoeker weten dat kwetsbaarheden in populaire routers actief door malware worden aangevallen, maar ook zwakke en standaardwachtwoorden blijken een manier te zijn waardoor aanvallers de controle over de apparaten krijgen. Anti-virusbedrijf Trend Micro waarschuwt voor DNS-changer malware. De malware voert vanaf het interne netwerk van de gebruiker brute force-aanvallen op de beheerdersinterface van de router uit.
Vervolgens worden de DNS-instellingen aangepast. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS van de router aan te passen kunnen criminelen het verkeer van gebruikers via hun server laten lopen. De meeste besturingssystemen zijn zo ingesteld om de DNS-instellingen van de router te gebruiken. Zodra een computer of ander apparaat verbinding met de router maakt, zullen de aangepaste DNS-instellingen worden gebruikt. Hierdoor kunnen aanvallers gebruikers van de aangevallen router naar bijvoorbeeld phishingsites doorsturen of malware laten downloaden.
"Aangepaste DNS-instellingen houden in dat gebruikers niet weten of ze naar betrouwbare of nagemaakte websites navigeren", zegt Fernando Merces. Hij merkt op dat gebruikers die het standaardwachtwoord van de router niet hebben aangepast met name risico lopen. De aanval begint via een phishingaanval, die naar een pagina met een script wijst. Dit script voert vervolgens vanaf het interne netwerk de brute force-aanval op de router uit. Doordat het de browser is die het script uitvoert, wordt het verkeer naar de router als een intern verzoek beschouwd.
Het script dat de aanvallers gebruiken probeert zowel het IP-adres als het wachtwoord van de router te raden. Het script ondersteunt verschillende modellen en fabrikanten, onder andere TP-Link en D-Link. De aanvallen lijken vooral op Brazilië gericht, waar 88,3% van de aangevallen apparaten werd waargenomen, gevolgd door de VS (2,9%) en Japan (1,3%). Gebruikers krijgen het advies om voor alle accounts op de router veilige wachtwoorden te gebruiken, het standaard IP-adres te wijzigen en de beheer op afstand-features uit te schakelen. Daarnaast wordt Firefox NoScript aangeraden, dat het uitvoeren van scripts in de browser kan blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.