I ricercatori di Bitdefender hanno recentemente scoperto un nuovo attacco che prende di mira i router domestici e ne modifica le impostazioni Dns per reindirizzare le vittime a un sito web a tema coronavirus che distribuisce malware che a sua volta diffonde l'infostealer Oski come payload finale.
L’attacco, evidenziano gli esperti di di Bitdefender, archivia questi payload nocivi utilizzando Bitbucket, popolare servizio di hosting di repository di controllo delle versioni, basato sul web. Per assicurarsi che la vittima non sospetti un’attività criminosa, i cyber attacker strumentalizzano anche TinyURL, l’ancor più popolare servizio web utilizzato per accorciare gli URL, al fine di nascondere il link al payload di Bitbucket.
La cosa odiosa, ma che purtroppo sta diventando una costante degli attacchi informatici in questo periodo di emergenza sanitaria, è che la pagina web a cui gli utenti vengono reindirizzati cita la pandemia di coronavirus, offrendo il download di un'applicazione che promette di fornire “le ultime informazioni e istruzioni sul coronavirus (Covid-19)”.
Anche i ricercatori di Bitdefender sottolineano come il Covid-19 sia diventato un tema ricorrente che i cyber criminali stanno sfruttando per tendere trappole informatiche alle potenziali vittime. I report su eventi di questo tipo, che coinvolgono malware a tema coronavirus, sono aumentati di cinque volte a marzo rispetto febbraio, segnala Birdefender, con gli aggressori che utilizzano truffe di phishing che sfruttano la disinformazione sul coronavirus e la paura della carenza di forniture mediche.
Secondo quanto evidenziato da Bitdefender, questi nuovi attacchi di DNS Hijacking scoperti di recente sono indirizzati principalmente ai router Linksys, e avvengono mediante bruteforcing delle credenziali di gestione remota.
Innanzitutto, l’attacco “dirotta” (hijacking) i router e modifica i loro indirizzi IP DNS; poi, reindirizza un elenco specifico di pagine web e domini a una pagina web nociva a tema coronavirus. L’attacco utilizza Bitbucket per archiviare campioni di malware e usa TinyURL per nascondere il collegamento Bitbucket; infine, lancia il malware infostealer Oski.
Cosa fare per proteggersi
Per prima cosa, gli esperti di Bitdefender raccomandano che, oltre a modificare le credenziali di accesso al pannello di controllo del router (che si spera non siano quelle predefinite), gli utenti dovrebbero modificare le credenziali dell'account cloud Linksys o qualsiasi account di gestione remota per i loro router, per evitare attacchi tramite bruteforcing o credential-stuffing.
Bitdefender consiglia anche di assicurarsi che il firmware del router sia sempre aggiornato. Infine, essendo Bitdefender una società specializzata in prodotti e servizi di cybersecurity, l’azienda non può non consigliare anche di utilizzare su tutti i dispositivi una soluzione di sicurezza che impedisca di accedere a siti web di phishing o fraudolenti e di scaricare e installare malware.
Maggiori informazioni sono disponibili sul sito di Bitdefender.