O malware de sequestro de DNS de difusores difundidos que recentemente encontrou o alvo de dispositivos Android agora foi atualizado com seus recursos para segmentar dispositivos iOS e também usuários de desktop.
Apelidado de Roaming Mantis , o malware foi inicialmente encontrado seqüestrando roteadores da Internet no mês passado para distribuir o malware do Android banking projetado para roubar as credenciais de login dos usuários e o código secreto para autenticação de dois fatores.
De acordo com pesquisadores de segurança da Kaspersky Lab , o grupo criminoso por trás da campanha Roaming Mantis ampliou seus alvos adicionando ataques de phishing a dispositivos iOS e scripts de mineração de criptomoedas para usuários de PC.
Além disso, enquanto os ataques iniciais foram planejados para atingir usuários do Sudeste Asiático - incluindo a Coréia do Sul, China Bangladesh e Japão - a nova campanha agora apóia 27 idiomas para expandir suas operações para infectar pessoas na Europa e no Oriente Médio.
Como funciona o malware do Mantis Roaming
Semelhante à versão anterior, o novo malware Roaming Mantis é distribuído via sequestro de DNS , em que os invasores alteram as configurações de DNS dos roteadores sem fio para redirecionar o tráfego para sites maliciosos controlados por eles.
Assim, sempre que os usuários tentam acessar qualquer site através de um roteador comprometido, eles são redirecionados para sites desonestos, que servem:
- aplicativos falsos infectados com malware bancário para usuários do Android,
- sites de phishing para usuários do iOS,
- Sites com script de mineração cryptocurrency para usuários de desktop
"Depois que o usuário [Android] é redirecionado para o site malicioso, ele é solicitado a atualizar o [app] do navegador. Isso leva ao download de um aplicativo malicioso chamado chrome.apk (também havia outra versão, chamada facebook.apk ), "dizem os pesquisadores.Para evitar a detecção, sites falsos geram novos pacotes em tempo real com arquivos apk maliciosos exclusivos para download, e também definem o nome do arquivo como oito números aleatórios.
Uma vez instalados, os invasores podem controlar dispositivos Android infectados usando 19 comandos backdoor integrados, incluindo – sendSms, setWifi, gcont, lock, onRecordAction, call, get_apps, ping e muito mais.
Se as vítimas possuem um dispositivo iOS, o malware redireciona os usuários para um site de phishing que imita o site da Apple, alegando ser "security.app.com", e solicita que insiram seu ID de usuário, senha, número de cartão e data de validade do cartão. e número de CVV.
Tendo em mente essas novas capacidades e o rápido crescimento da campanha, os pesquisadores acreditam que "os que estão por trás têm uma forte motivação financeira e provavelmente são bem financiados".
Aqui está como se proteger de Mantis Roaming
Para proteger-se de tal malware, é recomendável garantir que seu roteador esteja executando a versão mais recente do firmware e protegido por uma senha forte.
Como a campanha de invasão está usando servidores DNS controlados pelo invasor para falsificar domínios legítimos e redirecionar os usuários para arquivos de download mal-intencionados, é recomendável que você verifique se os sites que você está visitando têm HTTPS ativado.
Você também deve desativar o recurso de administração remota do roteador e codificar um servidor DNS confiável nas configurações de rede do sistema operacional.
Usuários de dispositivos Android sempre são aconselhados a instalar aplicativos de lojas oficiais e desabilitar a instalação de aplicativos de fontes desconhecidas em seus smartphones acessando Configurações → Segurança → Fontes desconhecidas.
Para verificar se o seu roteador Wi-Fi já está comprometido, revise suas configurações de DNS e verifique o endereço do servidor DNS. Se não corresponder ao emitido pelo seu provedor, altere-o de volta para o correto. Altere também todas as suas senhas de conta imediatamente.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário