駭客藉由感染行動裝置入侵家用路由器,台灣受害第一名!

趨勢科技研究團隊發現最新一波透過感染行動裝置進一步取得家用路由器控制權的駭客攻擊事件。駭客透過感染某些亞洲及俄羅斯的網站進行散播,一旦行動裝置瀏覽這些帶有JavaScript的惡意網站。透過行動裝置會啟動JavaScript來下載一個名為JS_JITON的JavaScript。此惡意JavaScript 可以讓網路駭客攻擊家用路由器的漏洞,藉以變更DNS,將瀏覽特定網站的使用者重新導到惡意網頁,進一步讓網路駭客取得受害者的網路憑證,例如密碼和PIN碼,更甚者可以在遠端使用管理者權限發送任何指令到家用路由器上。

路由器

目前已知JS-JITON 僅在使用者使用ZTE路由器的時候攻擊其漏洞根據趨勢科技主動式雲端截毒服務  Smart Protection Network資料,受影響最大的國家是台灣、日本、中國、美國和法國,台灣受影響使用者佔全球27.41%。

此外, 值得注意的是,趨勢科技研究人員從在合法網站上的混淆過惡意JavaScript程式碼中發現,其有提到除了ZTE之外的知名路由器品牌D-LINK及TP-LINK,有可能成為攻擊的目標,使用者也須提高警覺。 

物聯網(IoT ,Internet of Thing)時代,使用者容易忽略更新連網設備韌體的重要性。趨勢科技資深技術顧問簡勝財建議,使用者需要了解這些智慧連網設備如何運作及會收集那些個人機密身份資料,定期檢查並更新韌體(如路由器)程式及避免使用設備出廠時預設的帳號密碼,可降低自身的資料遭竊的風險。

趨勢科技資安解決方案,包含趨勢科技PC-cillin雲端版Smart Protection SuitesWorry-Free Pro

可以封鎖相關惡意網址和偵測惡意檔案,保護使用者和企業免於此類威脅。行動裝置也可以安裝免費的趨勢科技「安全達人」免費行動防護App( Android  /iOS  ) 進一步封鎖此次攻擊中含有惡意程式的網址。

詳細事件說明,請參考下文說明。 繼續閱讀

DNS變更惡意軟體進入家用路由器

家用路由器可以被用來竊取使用者的認證憑據,只是大多數人並不知道。壞蛋們已經找到方法來用網域名稱系統(DNS)變更惡意軟體來將最不受注意的網路路由器變成他們惡意計畫裡的重要工具。

有路由器會在出貨時帶有惡意DNS伺服器設定。在這次的情況裡,惡意軟體被用來篡改路由器和其DNS設定。當使用者想連上正常的銀行網站或其他壞人設定的網頁時,惡意軟體會將使用者導到惡意版本的網頁。這讓網路犯罪分子可以竊取使用者的帳號認證憑據和密碼等資訊。

越來越多的相關惡意網站出現在巴西(佔了近88%的感染數量)、美國和日本。這些網站會在內部網路執行瀏覽器腳本來對受害者的路由器進行暴力攻擊。再藉由正確認證憑據連上管理界面,該腳本發送帶有惡意DNS伺服器IP地址的HTTP請求到路由器。一旦惡意版本設定替換掉目前的IP地址就完成了感染。除了瀏覽器暫存檔外,沒有檔案會在受害者電腦上建立,不需要使用持續性技術,沒有改變什麼。

修改DNS設定代表使用者不知道他們所要連上的是可信網站的山寨版。不變更預設密碼的使用者很容易遭受此類攻擊。

 

路由器 DNS惡意軟體使用暴力攻擊

DNS是轉換IP地址跟網路名稱的網際網路標準。就像是電話簿一樣將人性化的主機名稱轉換成電腦接受的IP地址。網路犯罪分子建立DNS變更惡意軟體來修改系統的DNS設定。我們在2011年就討論過DNS變更惡意軟體,當時的惡意軟體感染了400多萬台電腦來加入Esthost殭屍網路。我們參與了Ghost Click行動將這殭屍網路給剷除。 繼續閱讀