Un nuovo attacco informatico sta dirottando le impostazioni DNS dei router in modo che i browser web visualizzino avvisi per una falsa App di informazioni sul COVID-19 da parte dell’OMS, in cui si nasconde Oski, il malware che ruba informazioni.

Secondo quanto riportato da BleepingComputer, alcuni ricercatori hanno scoperto una nuova campagna di attacchi che mira a cambiare le impostazioni DNS sui router domestici D-Link o Linksys per mostrare sul browser dell’utente falsi avvisi relativi ad informazioni riguardanti il COVID-19, affermando che si tratti di un’App controllata dall’Organizzazione Mondiale della Sanità.

Le persone che hanno fatto la segnalazione hanno riferito che il loro browser si apriva da solo e visualizzava un messaggio che chiedeva loro di scaricare una “COVID-19 Inform App” presumibilmente dell’OMS. Poiché la maggior parte dei computer utilizza l’indirizzo IP e le informazioni DNS fornite dal proprio router, i server DNS dannosi reindirizzano le vittime verso contenuti dannosi sotto il controllo dell’aggressore.

Non è noto come gli aggressori stiano ottenendo l’accesso ai router per modificare la loro configurazione DNS, ma alcuni utenti affermano di avere accesso remoto al router abilitato con una password di amministratore debole. Se un utente scarica e installa l’applicazione, invece di ricevere un’applicazione di informazioni COVID-19, questo malware tenterà di rubare le seguenti informazioni dal computer della vittima:

  • cookie del browser;
  • cronologia del browser;
  • credenziali di accesso salvate;
  • portafogli di criptovalute;
  • file di testo;
  • database di autenticazione 2FA;
  • screenshot del desktop.

Queste informazioni verranno quindi caricate su un server remoto in modo che possano essere raccolte dagli aggressori e utilizzate per eseguire ulteriori attacchi sui tuoi account online per rubare denaro dai conti bancari, eseguire furti di identità o lanciare ulteriori attacchi di phishing.

“Cosa fare se si è interessati da questo attacco: se il browser si apre in modo casuale a una pagina che promuove un’app di informazioni COVID-19, è necessario accedere al router e assicurarsi di configurarlo per ricevere automaticamente i propri server DNS dal proprio ISP. Poiché ogni router ha un modo diverso di configurare i server DNS, non è possibile fornire un metodo specifico su come farlo.

In generale, si consiglia di seguire questi passaggi:

  1. Accedere al router
  2. Trovare le impostazioni DNS e assicurarsi che non ci siano server, in particolare 109.234.35.230 e 94.103.82.249, configurati manualmente. In tal caso, impostare i server DNS su “Automatico” o ISP assegnato.
  3. Quindi salvare la configurazione.

Infine riavviare i dispositivi mobili, console di gioco e computer in modo che utilizzino le impostazioni DNS corrette dall’ISP.

È molto importante cambiare la password in qualcosa di più forte e disabilitare l’amministrazione remota sul router.

Chi ha scaricato e installato l’app COVID-19, dovrebbe immediatamente eseguire una scansione sul proprio computer alla ricerca di malware.

Una volta pulito, è necessario cambiare tutte le password per i siti le cui credenziali sono salvate nel browser e cambiare le password per qualsiasi sito visitato da quando è stato infettato. Quando si reimpostano le password, assicurarsi di utilizzare una password univoca in ogni sito.

 

https://www.cert-pa.it/notizie/attacchi-a-impostazioni-dns-di-router-domestici-per-veicolare-app-malevola/

https://www.bleepingcomputer.com/news/security/hackers-hijack-routers-dns-to-spread-malicious-covid-19-apps/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE