Фальш-антивирус и взломы роутеров: коронавирус как Клондайк хакеров

Опубликовано 24.03.2020 at 17:57 | admin

Одно только перечисление всех затей, придуманных киберпреступниками с момента начала пандемии, займет несколько абзацев.

Нас впечатлили вот эти две, информация о которых появилась 24 марта одновременно:

Во-первых, злоумышленники меняют настройки DNS маршрутизатора таким образом, чтобы в браузере пользователя отображалось уведомление, предлагающее скачать приложение от ВОЗ, якобы предоставляющее актуальную информацию о COVID-19, а на самом деле являющееся инфостилером Vidar.

За последние пять дней в интернете появились сообщения от пользователей о том, что их браузеры вдруг неожиданно сами открывались и отображали уведомления о необходимости скачать COVID-19 Inform App предположительно от ВОЗ.

Как показало исследование, уведомления появлялись в результате кибератаки. Злоумышленники меняли в настройках маршрутизаторов D-Link и Linksys легитимные DNS-серверы на свои собственные. Поскольку большинство компьютеров используют IP-адреса и информацию DNS, предоставляемую маршрутизатором, подконтрольные злоумышленникам DNS-серверы переадресовывали пользователей на вредоносный контент.

Каким образом злоумышленники получают контроль над маршрутизаторами, пока неизвестно.

Еще более впечатляющая акция: специальный антивирус — Corona Antivirus. Этот фейковый софт используется в качестве прикрытия для бэкдора BlackNET. Попав в систему жертвы, BlackNET открывает операторам удалённый доступ к заражённому устройству. Одновременно вредонос добавляет новый компьютер в бот-сеть. В Сети были зафиксированы два сайта, рекламирующих Corona Antivirus: antivirus-covid19[.]site и corona-antivirus[.]com.

Описание ПО, конечно, впечатляет: «Скачайте наш Corona Antivirus, который поможет защититься от нового коронавируса COVID-19. Наши специалисты из Гарвардского университета долго работали над искусственным интеллектом, задача которого — бороться с вирусом с помощью мобильного приложения», — говорится на сайте. Если доверчивый пользователь попадался на уловку, в систему скачивался исполняемый файл по ссылке antivirus-covid19[.]site/update.exe. После запуска на компьютер устанавливался бэкдор BlackNET.