DNS: Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

Gehackte Router leiten bekannte Domains auf eine gefälschte Warnung der WHO um und versuchen, ihren Opfern eine Schadsoftware unterzujubeln.

Artikel veröffentlicht am ,
Schadsoftware statt Vireninfos der WHO
Schadsoftware statt Vireninfos der WHO (Bild: Mohamed Hassan/Pixabay)

Plötzlich zeigen verschiedene, bekannte Webseiten wie disney.com, aws.amazon.com oder xhamster.com einen Warnhinweis der Weltgesundheitsorganisation (WHO) zum Coronavirus an und lassen nur noch den Download einer Info-App zu. Die Webseite und der Hinweis sind jedoch eine Fälschung, mit der Angreifer ihre Opfer zur Installation einer Schadsoftware verleiten wollen.

Um den Hinweis einblenden zu können, übernehmen die Angreifer den Router, ändern die DNS-Einstellungen und leiten die Domains auf ihren gefälschten Warnhinweis zum Coronavirus um. Laut der Sicherheitsfirma Bitdefender sollen die Angreifer bisher vor allem Router in den USA und Deutschland angegriffen haben.

Mit ihrer Kampagne docken die Angreifer an die Ängste rund um das aktuelle Thema Coronavirus an und versprechen auf einem WHO-Banner "die neuesten Informationen und Anweisungen zum Coronavirus (Covid-19)."

Doch statt der Info-App verbirgt sich hinter dem Downloadbutton die Schadsoftware Oski, die es unter anderem auf die im Browser gespeicherten Zugangsdaten, Cookies, den Browserverlauf und dort abgelegte Zahlungsinformationen sowie in Wallets abgelegte Digitalwährungen abgesehen hat. Die Schadsoftware wird über Bitbuckets von AWS ausgeliefert. Laut Bitdefender sind die Angreifer seit 18. März 2020 aktiv. Allein eines der mindestens vier Bitbuckets konnte in den vergangenen Tagen über 1.000 Downloads verzeichnen.

Um den Warnhinweis anzuzeigen, übernehmen die Angreifer verschiedene Routermodelle von D-Link oder Linksys. Wie dies geschieht, ist derzeit unbekannt. Bitdefender vermutet einen Brute-Force-Angriff, also das Durchprobieren von Passwortkombinationen. Es könnte jedoch auch sein, dass die Angreifer eine Sicherheitslücke ausnutzen.

  • Gefälschter Warnhinweis führt zu Schadsoftware. (Quelle: Bitdefender)
Gefälschter Warnhinweis führt zu Schadsoftware. (Quelle: Bitdefender)

Anschließend ändern die Angreifer die DNS-Server auf 109.234.35.230 und 94.103.82.249 ab. Diese leiten etliche bekannte Domains auf die Webseite mit dem Warnhinweis um. Unter den Betroffenen Domains sind neben disney.com, aws.amazon.com und xhamster.com auch goo.gl, bit.ly, washington.edu, imageshack.us, ufl.edu, pubads.g.doubleclick.net und redditblog.com. Damit keine verschlüsselte Verbindung zu den Webseiten aufgebaut wird, soll laut Bitdefender zudem Port 443 auf dem Router geschlossen werden. Die Webseiten können dann nur noch unverschlüsselt über Port 80 aufgerufen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Quellcode auf Github
MS-DOS 4.00 ist jetzt Open Source

Nachdem der ehemalige CTO eine alte MS-DOS-Floppy entdeckt hat, veröffentlicht Microsoft ein Stück Betriebssystem-Geschichte.

Quellcode auf Github: MS-DOS 4.00 ist jetzt Open Source
Artikel
  1. Per GPU geknackt: So sicher sind 8-Zeichen-Passwörter 2024
    Per GPU geknackt
    So sicher sind 8-Zeichen-Passwörter 2024

    Ein gutes Passwort sollte mindestens 8 Zeichen lang sein, lautet oftmals die Empfehlung. Neue Untersuchungen zeigen jedoch: Die Zeit ist reif für mehr.

  2. Berlin: Encrochat-Daten münden in Razzia gegen Drogenbande
    Berlin
    Encrochat-Daten münden in Razzia gegen Drogenbande

    Bei einer Razzia in Berlin wurden am Mittwoch fünf Tatverdächtige festgenommen. Sie sollen massenhaft Drogen importiert und verkauft haben.

  3. Marskolonie: Elon Musk spricht über Marspläne sowie Starship 2 und 3
    Marskolonie
    Elon Musk spricht über Marspläne sowie Starship 2 und 3

    Für die Besiedlung des Mars braucht es mehr Raumschiffe und Startmöglichkeiten. Elon Musk redet vor seinen SpaceX-Mitarbeitern sogar von der Entwicklung vom Starship 2 und 3.
    Ein Bericht von Patrick Klapetz

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus OLED-Monitor zum Tiefstpreis • Gigabyte GeForce RTX 4070 Ti im Sale • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /