Malware laat router advertenties en porno op websites tonen
Onderzoekers hebben malware ontdekt die routers aanvalt en vervolgens advertenties en pornografie op websites injecteert die de gebruiker bezoekt. Zodra de malware toegang tot de router heeft gekregen, wat via standaard gebruikersnamen en wachtwoorden gebeurt, worden de DNS-instellingen gewijzigd.
Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS van de router aan te passen kunnen criminelen het verkeer van gebruikers via hun server laten lopen. De meeste besturingssystemen zijn zo ingesteld om de DNS-instellingen van de router te gebruiken. Zodra een computer of ander apparaat verbinding met de router maakt, zullen de aangepaste DNS-instellingen worden gebruikt.
Met deze gewijzigde DNS-instellingen is het mogelijk om gebruikers naar andere websites door te sturen, ook al tikken ze in de adresbalk van de browser het juiste adres in. In het geval van de aangepaste DNS-instellingen worden verzoeken naar google-analytics.com onderschept. Zodra gebruikers een website bezoeken die Google Analytics gebruikt worden ze naar een valse Google Analytics-site doorgestuurd.
Google Analytics is een dienst waarmee websites inzicht in het gebruik van hun website kunnen krijgen. Als een website met Google Analytics wordt bekeken, zal Google Analytics wat Javascriptcode downloaden en uitvoeren, waarna de view van de gebruiker in het overzicht wordt geteld. Zodra de gebruiker naar de valse Google Analytics-site wordt doorgestuurd krijgt hij kwaadaardige JavaScriptcode voorgeschoteld die dan advertenties en pornografie op de dan bezochte website injecteert.
Onderzoekers van Ara Labs, die de malware ontdekten, stellen dat het niet om een kwetsbaarheid in Google Analytics gaat, maar dat de dienst vanwege de grote populariteit het doelwit is. De makers van de malware krijgen weer betaald voor het genereren van verkeer naar de getoonde websites en advertenties. Om de aanval te voorkomen wordt internetgebruikers aangeraden om de firmware van hun router te updaten en het standaardwachtwoord te wijzigen.
Testing for signs of DNS hijacking: https://www.ismydnshijacked.com/
Testing for signs of DNS hijacking: https://www.ismydnshijacked.com/
Geweldig!
Daar hebben we dus wat aan.
Thankx
Deze posting is gelocked. Reageren is niet meer mogelijk.
iSOC24 Live Webinar Sessions
Live Webinar Sessions in de eerste 2 weken van juni. iSOC24 informeert u samen met haar strategische vendors over de laatste trends en ontwikkelingen rondom hun oplossingen en hun toepassing in de praktijk.
Klik op de link voor de inhoud van de sessies en om u in te schrijven!
