DNS: Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware
Gehackte Router leiten bekannte Domains auf eine gefälschte Warnung der WHO um und versuchen, ihren Opfern eine Schadsoftware unterzujubeln.
Plötzlich zeigen verschiedene, bekannte Webseiten wie disney.com, aws.amazon.com oder xhamster.com einen Warnhinweis der Weltgesundheitsorganisation (WHO) zum Coronavirus an und lassen nur noch den Download einer Info-App zu. Die Webseite und der Hinweis sind jedoch eine Fälschung, mit der Angreifer ihre Opfer zur Installation einer Schadsoftware verleiten wollen.
Um den Hinweis einblenden zu können, übernehmen die Angreifer den Router, ändern die DNS-Einstellungen und leiten die Domains auf ihren gefälschten Warnhinweis zum Coronavirus um. Laut der Sicherheitsfirma Bitdefender sollen die Angreifer bisher vor allem Router in den USA und Deutschland angegriffen haben.
Mit ihrer Kampagne docken die Angreifer an die Ängste rund um das aktuelle Thema Coronavirus an und versprechen auf einem WHO-Banner "die neuesten Informationen und Anweisungen zum Coronavirus (Covid-19)."
Doch statt der Info-App verbirgt sich hinter dem Downloadbutton die Schadsoftware Oski, die es unter anderem auf die im Browser gespeicherten Zugangsdaten, Cookies, den Browserverlauf und dort abgelegte Zahlungsinformationen sowie in Wallets abgelegte Digitalwährungen abgesehen hat. Die Schadsoftware wird über Bitbuckets von AWS ausgeliefert. Laut Bitdefender sind die Angreifer seit 18. März 2020 aktiv. Allein eines der mindestens vier Bitbuckets konnte in den vergangenen Tagen über 1.000 Downloads verzeichnen.
Um den Warnhinweis anzuzeigen, übernehmen die Angreifer verschiedene Routermodelle von D-Link oder Linksys. Wie dies geschieht, ist derzeit unbekannt. Bitdefender vermutet einen Brute-Force-Angriff, also das Durchprobieren von Passwortkombinationen. Es könnte jedoch auch sein, dass die Angreifer eine Sicherheitslücke ausnutzen.
Anschließend ändern die Angreifer die DNS-Server auf 109.234.35.230 und 94.103.82.249 ab. Diese leiten etliche bekannte Domains auf die Webseite mit dem Warnhinweis um. Unter den Betroffenen Domains sind neben disney.com, aws.amazon.com und xhamster.com auch goo.gl, bit.ly, washington.edu, imageshack.us, ufl.edu, pubads.g.doubleclick.net und redditblog.com. Damit keine verschlüsselte Verbindung zu den Webseiten aufgebaut wird, soll laut Bitdefender zudem Port 443 auf dem Router geschlossen werden. Die Webseiten können dann nur noch unverschlüsselt über Port 80 aufgerufen werden.
Im Artikel wird DLink und Linksys genannt. Also nix "Providerschrott". Chinaschrott...
...sorgen immer für Unterhaltung.
Sehr gute Auflistung :D