Internetcriminelen maken gebruik van besmette advertenties op legitieme websites om de dns-instellingen van routers en andere opties te wijzigen. De aanvallen richten zich op Chrome-gebruikers op Android en Windows. Zodra de besmette advertentie door de browser is geladen proberen de aanvallers via cross site request forgery (csrf) of andere exploits toegang tot de router te krijgen.
Vervolgens worden de dns-instellingen van de router aangepast. Bij een aantal routers proberen de aanvallers ook de beheerpoorten voor externe adressen toegankelijk te maken. Daardoor loopt de router ook risico om bijvoorbeeld door de Mirai-malware te worden aangevallen. Volgens onderzoekers van beveiligingsbedrijf Proofpoint is de motivatie van de aanvallers om de dns-instellingen aan te passen niet altijd duidelijk, maar zou in dit geval worden geprobeerd om verkeer van een aantal grote advertentiebedrijven te stelen zoals OutBrain en Propellerads. De advertenties die gebruikers te zien krijgen kunnen door de dns-aanpassing bijvoorbeeld worden vervangen of zich anders gedragen.
De exploitkit die de aanvallers gebruiken zou inmiddels 166 exploits bevatten, waarbij sommige exploits voor meerdere routermodellen werken. Een jaar geleden bevatte de exploitkit nog 55 exploits. Het gaat onder andere om routers van Netgear, D-Link, en Comtrend die worden aangevallen. Ten opzichte van vorig jaar wordt nu ook geprobeerd de beheerpoorten van de routen open te zetten en werken de besmette advertenties op Androidtoestellen. Volgens de onderzoekers is er geen eenvoudige manier om dit soort aanvallen te voorkomen. Het installeren van de laatste router-updates is de belangrijkste manier om exploits te voorkomen. Ook het veranderen van de lokale ip-reeks kan helpen. De onderzoekers stellen echter dat veel doorsnee gebruikers dit soort zaken niet uitvoeren.
"Als aanvallers de dns-server op een netwerk beheren, hebben ze de mogelijkheid om allerlei aanvallen uit te voeren op apparaten die met het netwerk verbinding te maken. Het kan gaan om fraude met internetbankieren, man-in-the-middle-aanvallen, phishing, advertentiefraude en meer. In dit geval laat de exploitkit aanvallers de dns-server op de internetrouter veranderen. Om dit soort aanvallen te voorkomen moeten routerfabrikanten regelmatig hun firmware patchen en gebruikers deze patches installeren", zo concluderen de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.