Roaming Mantis отвлича DNS настройките на Wi-Fi рутерите

Хакерите, свързани с кампанията  Roaming Mantis, са забелязани да разпространяват актуализиран вариант на патентования от тях мобилен зловреден софтуер, известен като Wroba, който прониква в Wi-Fi рутери и извършва превземане на DNS.

Компанията Kaspersky, която извърши анализ на злонамерения артефакт, заяви, че функцията е създадена, за да бъде насочена към конкретни Wi-Fi рутери, разположени в Южна Корея.

Roaming Mantis, известна също като Shaoye, е дългогодишна финансово мотивирана банда, която издирва потребители на смартфони с Android и ги заразява със злонамерен софтуер, способен да краде данни за банкови сметки, както и да събира друг вид чувствителна информация.

Въпреки че от 2018г. насам се насочва предимно към азиатския регион, в началото на 2022г. е засечен хакерският екип, който за първи път разширява обхвата на жертвите си, включвайки Франция и Германия, като маскира злонамерения софтуер като приложение за уеб браузър Google Chrome.

Атаките използват smishing съобщенията като първоначален вектор на проникване по избор, за да доставят заложен в капана URL адрес, който или предлага зловреден APK файл, или пренасочва жертвата към фишинг страници в зависимост от операционната система, инсталирана в мобилните устройства.

Освен това при някои пробиви се използват и Wi-Fi рутери като средство за отвеждане на нищо неподозиращите потребители до фалшива целева страница чрез използване на техника, наречена DNS hijacking, при която DNS заявките се манипулират, за да се пренасочат целите към фалшиви сайтове.

Независимо от използвания метод, проникванията проправят пътя за внедряване на зловреден софтуер, наречен Wroba (известен още като MoqHao и XLoader), който е оборудван за извършване на множество лоши дейности.

Последната актуализация на Wroba, според руската компания за киберсигурност, включва функция за промяна на DNS, която е разработена така, че да открива определени маршрутизатори въз основа на номерата на моделите им и да отравя техните DNS настройки.

„Новата функция за промяна на DNS може да управлява всички комуникации на устройствата, използващи компрометирания Wi-Fi рутер, като например пренасочване към злонамерени хостове и деактивиране на актуализациите на продуктите за сигурност“, заяви изследователят на Kaspersky Сугуру Ишимару.

Основната идея е да се накарат устройствата, свързани към пробития Wi-Fi рутер, да бъдат пренасочени към уебстраници, контролирани от субекта на заплахата, за по-нататъшна експлоатация. Като се има предвид, че някои от тези страници доставят зловредния софтуер Wroba, веригата от атаки на практика създава постоянен поток от „ботове“, които могат да бъдат използвани като оръжие за проникване в здрави Wi-Fi рутери.

Забележително е, че програмата за промяна на DNS се използва изключително в Южна Корея. Самият зловреден софтуер Wroba обаче е бил забелязан да се насочва към жертви в Австрия, Франция, Германия, Индия, Япония, Малайзия, Тайван, Турция и САЩ чрез smishing.

Wroba далеч не е единственият мобилен зловреден софтуер  с функции за отвличане на DNS. През 2016г. Kaspersky разобличи друг троянски кон за Android с кодово име Switcher, който атакува безжичния рутер, към чиято мрежа е свързано заразеното устройство, и извършва атака с груба сила с цел подправяне на DNS конфигурациите.

„Потребителите със заразени устройства с Android, които се свързват към безплатни или обществени Wi-Fi мрежи, могат да разпространят зловредния софтуер на други устройства в мрежата, ако Wi-Fi мрежата, към която са свързани, е уязвима“, казва изследователят.

Източник: The Hacker News

Подобни публикации

6 февруари 2023

Новият крипто токен Dingo начислява такса за тр...

Изследователи от компанията за ИТ сигурност Check Point security са...
6 февруари 2023

#9 Cyber Security Talks Bulgaria ще се проведе...

След страхотното събитие на КиберКЛУБ // CyberCLUB е отново време з...
4 февруари 2023

Нов рансъмуер използва грешка във VMware и се ...

Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предна...
3 февруари 2023

Разкрити са нови уязвимости в сигурността при е...

Две нови слабости в сигурността, открити в няколко системи за зареж...
3 февруари 2023

Google Ads популяризира "виртуализиран" зловред...

Продължаваща кампания за злонамерена реклама в Google разпространяв...
2 февруари 2023

Нови варианти на руския шпионския софтуер Gamar...

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално...
1 февруари 2023

Microsoft спря продажбата на Windows 10 по-рано

Слагайки край на една епоха, Microsoft вече не продава директно про...
1 февруари 2023

Как правилно да скриете чувствителен текст в PD...

Цифровите документи вече са важна част от повечето бизнес и правите...
1 февруари 2023

Не знаете къде са вашите тайни

Знаете ли къде са вашите тайни? Ако не, може  да се каже: не сте са...
Бъдете социални
Още по темата
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
03/02/2023

Google Ads популяризира "ви...

Продължаваща кампания за злонамерена реклама в...
28/01/2023

Украйна: Sandworm удари ин...

Украинският екип за реагиране при компютърни...
Последно добавени
06/02/2023

Новият крипто токен Dingo н...

Изследователи от компанията за ИТ сигурност...
06/02/2023

#9 Cyber Security Talks Bul...

След страхотното събитие на КиберКЛУБ //...
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!