กลุ่มของ แฮ็กเกอร์ ซึ่งอยู่เบื้องหลังการจัดจำหน่าย มัลแวร์โรมมิ่งตั๊กแตนตำข้าว อัปเดตเวอร์ชัน Android ของมัลแวร์เพื่อรวม ตัวแปลง DNS
วิธีการของเขา ตัวเปลี่ยน DNS แก้ไขการตั้งค่า DNS บนเราเตอร์ WiFi ที่มีช่องโหว่เพื่อกระจายการติดไวรัสไปยังอุปกรณ์อื่น
โดย กันยายน 2022นักวิจัยด้านความปลอดภัยสังเกตว่ากลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังมัลแวร์ของ “ตั๊กแตนตำข้าวโรมมิ่ง” พวกเขาดำเนินการแจกจ่ายมัลแวร์เวอร์ชันใหม่ต่อไป Wroba.o/XLoader บน Androidซึ่งจะตรวจจับเราเตอร์ WiFi ที่มีช่องโหว่ตามรุ่นและเปลี่ยน DNS
จากนั้นมัลแวร์จะสร้างคำขอ HTTP เพื่อแทรกแซงการตั้งค่า DNS ของเราเตอร์ WiFi ที่มีช่องโหว่ ทำให้อุปกรณ์ที่เชื่อมต่อถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตรายซึ่งโฮสต์ฟอร์มฟิชชิงหรือปล่อยมัลแวร์ Android
มัลแวร์สายพันธุ์ใหม่ Wroba.o/XLoader สำหรับ Android ค้นพบโดยพวกเขา นักวิจัยของแคสเปอร์สกี้, ที่ ที่ติดตามกิจกรรมการออกอากาศของ Mantis มานานหลายปี Kaspersky อธิบายว่า ตั๊กแตนตำข้าวโรมมิ่ง ใช้วิธีการของเขา การไฮแจ็ค DNS อย่างน้อยตั้งแต่ปี 2018, แต่องค์ประกอบใหม่ในรุ่นล่าสุดคือมัลแวร์กำหนดเป้าหมายเราเตอร์เฉพาะ
แคมเปญล่าสุดที่ใช้มัลแวร์ที่อัปเดตนี้กำหนดเป้าหมายเราเตอร์ WiFi บางรุ่นที่ใช้เป็นหลักใน เกาหลีใต้. อย่างไรก็ตาม แฮ็กเกอร์สามารถเปลี่ยนได้ทุกเมื่อเพื่อรวมเราเตอร์อื่นๆ ที่ใช้กันทั่วไปในประเทศอื่นๆ
วิธีการนี้ช่วยให้พวกเขาทำการโจมตีแบบกำหนดเป้าหมายได้มากขึ้นและประนีประนอมเฉพาะผู้ใช้และพื้นที่ที่เฉพาะเจาะจง โดยหลีกเลี่ยงการตรวจจับในกรณีอื่นๆ ทั้งหมด
ก่อนหน้า ตั๊กแตนตำข้าวโรมมิ่งโจมตีผู้ใช้ที่เป็นเป้าหมายจาก ญี่ปุ่น ออสเตรีย ฝรั่งเศส เยอรมนี ตุรกี มาเลเซีย และอินเดีย.
ตัวแก้ไข DNS ของเราเตอร์ใหม่
รุ่นล่าสุด ตั๊กแตนตำข้าวโรมมิ่ง ใช้ข้อความ SMS ฟิชชิ่ง (Smishing) เพื่อกำหนดเป้าหมายไปยังเว็บไซต์ที่เป็นอันตราย
หากอุปกรณ์ของผู้ใช้เป็น Android อุปกรณ์จะขอให้ผู้ใช้ติดตั้ง APK ที่เป็นอันตรายซึ่งเต็มไปด้วย มัลแวร์ Wroba.o/XLoaderในขณะที่ตรงกันข้ามกับผู้ใช้ แอปเปิ้ล iOSหน้า Landing Page จะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าฟิชชิงที่พยายามขโมยข้อมูลประจำตัว
เมื่อติดตั้งมัลแวร์ XLoader บนอุปกรณ์ Android ของเหยื่อแล้ว มัลแวร์จะได้รับที่อยู่ IP ของเกตเวย์เริ่มต้นจากเราเตอร์ WiFi ที่เชื่อมต่อ จากนั้นจึงพยายามเข้าถึงเมนูผู้ดูแลระบบของเราเตอร์โดยใช้รหัสผ่านเริ่มต้นเพื่อค้นหารุ่นของอุปกรณ์
XLoader ตรวจสอบรุ่นเราเตอร์ WiFi (Kaspersky)
ตอนนี้ XLoader มีคุณสมบัติ 113 สตริงฮาร์ดโค้ด ด้วยรหัสที่ใช้ในการตรวจสอบเราเตอร์ WiFi รุ่นใดรุ่นหนึ่ง – และหากพบการจับคู่ มัลแวร์จะดำเนินการเจาะ DNS โดยเปลี่ยนการตั้งค่าของเราเตอร์
มัลแวร์ทำการเปลี่ยนแปลง DNS บนเราเตอร์ (Kaspersky)
Η Kaspersky ระบุว่า ตัวเปลี่ยน DNS ใช้ข้อมูลรับรองเริ่มต้น (ผู้ดูแลระบบ / ผู้ดูแลระบบ) เพื่อเข้าถึงเราเตอร์ จากนั้นทำการเปลี่ยนแปลงการตั้งค่า DNS โดยใช้วิธีการต่างๆ โดยขึ้นอยู่กับรุ่นที่ตรวจพบ
นักวิเคราะห์ยังอธิบายว่าเซิร์ฟเวอร์ DNS ที่ใช้โดย ตั๊กแตนตำข้าวสัญจร, เปลี่ยนชื่อโดเมนบางชื่อเป็นหน้า Landing Page เฉพาะเมื่อเข้าถึงจากสมาร์ทโฟน
การแพร่กระจายของเชื้อ
เมื่อการตั้งค่า DNS บนเราเตอร์เปลี่ยนไปแล้ว เมื่ออุปกรณ์ Android อื่นๆ เชื่อมต่อกับเครือข่าย WiFi อุปกรณ์เหล่านั้นจะถูกเปลี่ยนเส้นทางโดยอัตโนมัติไปยังหน้า Landing Page ที่เป็นอันตรายและแจ้งให้ติดตั้งมัลแวร์
ข้อเท็จจริงนี้ทำให้อุปกรณ์ที่ติดไวรัสไหลเวียนอย่างต่อเนื่องเพื่อแฮ็คเราเตอร์ WiFi อื่น ๆ ที่สะอาดในเครือข่ายสาธารณะ ซึ่งให้บริการผู้คนจำนวนมากในประเทศ
Η Kaspersky เตือนว่าฟีเจอร์นี้ช่วยให้ทีม Roaming Mantis สามารถขยายขอบเขตที่เป็นอันตรายได้ ปล่อยให้มัลแวร์แพร่กระจายโดยไม่ถูกตรวจสอบ
แม้ว่าจะไม่มีหน้า Landing Page อยู่ก็ตาม สหรัฐอเมริกา และ Roaming Mantis ดูเหมือนจะไม่กำหนดเป้าหมายรุ่นเราเตอร์ที่ใช้งานอยู่ในประเทศซึ่งเป็นสถิติของมัน Kaspersky แสดงว่า 10% ของเหยื่อ XLoader ทั้งหมดอยู่ในสหรัฐอเมริกา.
ผู้ใช้สามารถป้องกันตัวเองจากการถูกโจมตีได้ ตั๊กแตนตำข้าวโรมมิ่ง หลีกเลี่ยงการคลิกลิงก์ที่ได้รับทาง SMSอย่างไรก็ตาม สิ่งที่สำคัญยิ่งกว่า หลีกเลี่ยงการติดตั้ง APK นอก Google Play Store
อย่าลืมกดติดตามนะครับ Xiaomi-miui.gr ที่ Google News เพื่อแจ้งให้ทราบทันทีเกี่ยวกับบทความใหม่ทั้งหมดของเรา! คุณยังสามารถถ้าคุณใช้โปรแกรมอ่าน RSS ให้เพิ่มหน้าของเราในรายการของคุณโดยทำตามลิงค์นี้ >> https://news.xiaomi-miui.gr/feed/gn
ติดตามเราได้ที่ Telegram เพื่อให้คุณเป็นคนแรกที่เรียนรู้ทุกข่าวของเรา!
