Metoda funguje na routery domácí a malopodnikové. Výzkumníci z Bitdefender hovoří o značce Linksys, web BleepingComputer na seznam postižených přidává navíc některá zařízení od společnosti D-Link. Hack routerů umožňuje útočníkovi podvrhávat majiteli falešné stránky, které nabízí zdroje informací o COVID-19, což pak vede k instalaci malwaru za účelem získávání hesel či kódů od kryptoměn atd.
Zajímavé je, že v tuto chvíli není jasné, jak konkrétně dochází ke kompromitování routerů. Výzkumníci citují data získaná z bezpečnostních produktů Bitdefender, z nichž vyvozují, že hackeři možná jen hádají hesla chránící vzdálený přístup ke konzoli routerů tam, kde je tato vlastnost zapnuta. Bitdefender dále vyslovuje hypotézu, že u Linksysu by teoreticky mohlo jít o získávání přístupu za pomoci hádání přihlašovacích údajů ke cloudové službě tohoto výrobce.
Následně pokud je router kompromitován, útočník upraví DNS servery, které zařízení používá a cesta k přesměrování je jasná. Liviu Arsene z Bitdefenderu dodává, že tyto vymyšlené stránky záměrně zavírají port 443, na kterém jinak běží HTTPS. Tím řeší riziko odhalení na bázi neplatnosti certifikátu atd.
Domény, které jsou při útoku přesměrovány na falešné, jsou tyto:
- aws.amazon.com
- goo.gl
- bit.ly
- washington.edu
- imageshack.us
- ufl.edu
- disney.com
- cox.net
- xhamster.com
- pubads.g.doubleclick.net
- tidd.ly
- redditblog.com
- fiddler2.com
- winimage.com
IP addresy, které obsluhují falešné DNS lookupy jsou 109.234.35.230 a 94.103.82.249. Následně podvržené stránky mají nabízet aplikaci poskytující poslední informace a rady týkající se koronaviru / COVID-19. Uživatel, který klikne na tlačítko pro stažení aplikace, je přesměrován na jednu z několika Bitbucket stránek, které nabídnou soubor instalující ve skutečnosti malware. Ten se jmenuje Oski a jde o relativně nový přírůstek do rodiny záškodnických nástrojů extrahujících data z prohlížečů, adresy kryptoměnových peněženek a nejspíš i další informace.
Z jednoho ze čtyř Bitbucket účtů s tímto útokem spojených došlo ke zhruba 1200 stažení. Celkový počet postižených tak bude nejspíš vyšší.
Dle Bitdefenderu útok začal nejspíš 18. března a špičky dosáhl 23. března. Zdá se, že útok primárně cílí na uživatele v USA, Německu a Francii, což jsou země řadící se mezi nejpostiženější COVID-19.
Rychlým řešením rizika útoku je pochopitelně prosté vypnutí vzdálené konzole na routeru. Pokud to není možné, doporučuje se nasadit opravdu silné heslo, stejné pak platí pro cloudové účty u společnosti router vyrobivší. A v neposlední řadě aktualizovat firmware vždy, když vyjde nový.
Podrobnosti shrnuje článek na webu Bitdefenderu