Новый набор эксплойтов атакует роутеры
Эксперты компании Trend Micro рассказали о новом эксплоит-ките Novidade, чьей основной целью являются роутеры. По данным исследователей, угроза распространяется с помощью вредоносной рекламы, мессенджеров и внедряется в код скомпрометированных сайтов.
Вредоносная целевая страница осуществляет HTTP-запрос через функцию JavaScript Image, обращаясь к локальным IP-адресам из заранее подготовленного списка (это адреса, которые чаще всего используют роутеры). Если удается установить соединение, Novidade пытается залогиниться, используя учетные данные по умолчанию, а также атакует обнаруженный IP и роутер различными эксплоитами из своего арсенала.
Схема работы Novidade
Также Novidade задействует против уязвимых устройств атаки CSRF (cross-site request forgery), стремясь изменить настройки DNS роутера (прописав в них вредоносный сервер) и перенаправить трафик со всех устройств жертвы в руки злоумышленников.
Первые образцы Novidade были замечены еще в августе 2017 года, и с тех пор исследователи нашли еще две вариации. Одна из них, по данным экспертов, использовалась во время недавней вредоносной кампании GhostDNS.
Эксперты предупреждают, что парой кампаний дело, скорее всего, не ограничивается, так как исходные коды малвари могли быть проданы нескольких хак-группам, или попросту утекли в открытый доступ, что позволило разным злоумышленникам создать свои версии.
Если изначально Novidade применялся против пользователей из Бразилии и использовался для хищения банковских учтенных данных (крупнейшая атака такого рода была замечена в марте 2018 года, и набор эксплоитов был задействован более 24 млн раз), то теперь специалисты фиксируют расширение области атак и полагают, что экплоит-кит могли взять на вооружение и разные преступники.
Различные версии набора эксплоитов могут представлять опасность для следующих устройств и эксплуатировать следующие баги:
Версия 1Версия 2Версия 3CSRF-атаки на роутерыXXXОбнаружение внешних IP-адресовXДинамическая JavaScript обфускацияXXWebRTC STUN запросыXКороткие URL для сбора статистикиXФайловая структураindex2.html
api.ipaddress.php
api.init.phpindex.php
index2.php
api.init.phpindex.php
addon.js
inc.php
Список сканируемых локальных IP
10.0.0.1
10.0.0.2
10.0.0.3
10.1.1.1
10.0.0.138
192.168.0.1
192.168.1.1
192.168.1.2
192.168.1.254
192.168.2.1
192.168.25.1
192.168.100.1
192.168.254.25410.0.0.1
192.168.0.1
192.168.1.1
192.168.2.1
192.168.15.1
192.168.25.1
192.168
Новый набор эксплоитов атакует роутеры - «Хакер»
Эксперты компании Trend Micro рассказали о новом эксплоит-ките Novidade, чьей основной целью являются роутеры. По данным исследователей, угроза распространяется с помощью вредоносной рекламы, мессенджеров и внедряется в код скомпрометированных сайтов.
Вредоносная целевая страница осуществляет HTTP-запрос через функцию JavaScript Image, обращаясь к локальным IP-адресам из заранее подготовленного списка (это адреса, которые чаще всего используют роутеры). Если удается установить соединение, Novidade пытается залогиниться, используя учетные данные по умолчанию, а также атакует обнаруженный IP и роутер различными эксплоитами из своего арсенала.
Схема работы Novidade
Также Novidade задействует против уязвимых устройств атаки CSRF (cross-site request forgery), стремясь изменить настройки DNS роутера (прописав в них вредоносный сервер) и перенаправить трафик со всех устройств жертвы в руки злоумышленников.
Первые образцы Novidade были замечены еще в августе 2017 года, и с тех пор исследователи нашли еще две вариации. Одна из них, по данным экспертов, использовалась во время недавней вредоносной кампании GhostDNS.
Эксперты предупреждают, что парой кампаний дело, скорее всего, не ограничивается, так как исходные коды малвари могли быть проданы нескольких хак-группам, или попросту утекли в открытый доступ, что позволило разным злоумышленникам создать свои версии.
Если изначально Novidade применялся против пользователей из Бразилии и использовался для хищения банковских учтенных данных (крупнейшая атака такого рода была замечена в марте 2018 года, и набор эксплоитов был задействован более 24 млн раз), то теперь специалисты фиксируют расширение области атак и полагают, что экплоит-кит могли взять на вооружение и разные преступники.
Различные версии набора эксплоитов могут представлять опасность для следующих устройств и эксплуатировать следующие баги:
- A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)
- D-Link DSL-2740R
- D-Link DIR 905L
- Medialink MWN-WAPR300 (CVE-2015-5996)
- Motorola SBG6580
- Realtron
- Roteador GWR-120
- Secutech RiS-11/RiS-22/RiS-33 (CVE-2018-10080)
- TP-Link TL-WR340G / TL-WR340GD
- TP-Link WR1043ND V1 (CVE-2013-2645)
Версия 1Версия 2Версия 3CSRF-атаки на роутерыXXXОбнаружение внешних IP-адресовXДинамическая JavaScript обфускацияXXWebRTC STUN запросыXКороткие URL для сбора статистикиXФайловая структураindex2.html
api.ipaddress.php
api.init.phpindex.php
index2.php
api.init.phpindex.php
addon.js
inc.php
Список сканируемых локальных IP
10.0.0.1
10.0.0.2
10.0.0.3
10.1.1.1
10.0.0.138
192.168.0.1
192.168.1.1
192.168.1.2
192.168.1.254
192.168.2.1
192.168.25.1
192.168.100.1
192.168.254.25410.0.0.1
192.168.0.1
192.168.1.1
192.168.2.1
192.168.15.1
192.168.25.1
192.168
Новый набор эксплоитов атакует роутеры - «Хакер»
Последнее редактирование: