家庭用および小規模オフィス用ルーターがCOVID-19を悪用するフィッシングWebサイトにユーザーをリダイレクト
COVID-19の大流行に見舞われた199か国の多くの人々が家にいて、悲惨な状況を最大限に生かそうとしています。彼らが働いているか、何か他のことをしているかに関係なく、日々の大部分は、ほとんどの人がオンラインで過ごしている可能性が高いため、自宅のWi-Fiルーターは時間外労働を余儀なくされています。その間、ハッカーはこれらのデバイスがどれほど脆弱である可能性があるかを私たちに教えることに着手したようです。
ハッカーがホームユーザーにDNSハイジャック攻撃を仕掛ける
Bitdefenderのセキュリティ研究者は最近、家庭用Wi-Fiルーターに対する攻撃の増加に気づきました。犠牲者のほとんどは米国、ドイツ、フランス、オランダに住んでおり、主にLinksys製のギアを使用しているようです。ハッカーがどのようにルーターを危険にさらしているのかは完全には明らかではありませんが、証拠により、デバイスのリモート管理システムまたは被害者のLinksysクラウドアカウントを介して、総当たり攻撃が行われていることが示されています。目標は、DNSハイジャック攻撃を実行することです。これにより、最終的にはユーザーをだまして、コンピューターにマルウェアをインストールさせることができます。
DNSハイジャックは、従来のフィッシング詐欺と多くの共通点があります。ユーザーは、正当なサービスのように見えるように設計されているが、実際にはハッカーによって制御されているページにアクセスします。そこに侵入すると、被害者はだまされてログイン認証情報を渡したり、マルウェアのインストールを余儀なくされたりします。フィッシングとDNSハイジャックの主な違いは、後者の場合、ユーザーは何が起こっているかを視覚的に示さないことです。
DNSは、アドレスバーに入力したドメイン名を、表示したいコンテンツをホストしているIPに接続するシステムです。ルーターのDNS設定を変更することで、ハッカーは人気のあるオンラインサービスにアクセスしようとしたときに、ルーターが制御するページにリダイレクトし、アドレスバーに正しい文字列が表示されるようにします。これは、DNSハイジャック攻撃の標的になっていることを認識するのがほとんど不可能であることを意味します。
現在のキャンペーンでは、犯罪者はOskiと呼ばれる比較的新しい情報盗用マルウェアを配布しており、被害者が悪意のある実行可能ファイルをダブルクリックすることを確実にするために、コロナウイルスのパンデミックに対する人々の恐怖を利用しています。
COVID-19はどこから入ってきますか?
Bitdefenderの研究者は、現在のキャンペーンの影響を受けるいくつかのドメインを含むリストを公開し、その中にいくつかのURL短縮サービス、Redditの公式ブログ、ディズニーのウェブサイト、ワシントン大学、フロリダ大学を見ることができます、およびソフトウェア製品からアダルトビデオまで何でも宣伝する一見ランダムなオンラインポータルのコレクション。しかし、正規のサービスの外観を模倣する代わりに、詐欺師は別のアプローチをとっています。
現在のDNSハイジャックキャンペーンの被害者には、世界保健機関からの偽のメッセージが表示されます。出典:Bitdefender
犠牲者は、世界保健機関から来たとされるメッセージで迎えられます。現在のコロナウイルスのパンデミックを取り巻く「最新の情報と指示」を提供するアプリをダウンロードするように彼らに促します。ダウンロードボタンがあり、ユーザーがそのボタンの上にカーソルを合わせると、Google Chromeの公式Webサイトにアクセスすると誤解される可能性があります。しかし、コードを注意深く分析した結果、「オンクリック」イベントが被害者をBitBucketリポジトリでホストされている悪意のある実行可能ファイルにリダイレクトしていることがわかりました。
Bitdefenderによると、キャンペーン中に少なくとも3つのリポジトリが使用されました。そのうちの2つは、研究者がテレメトリを調査する前に閉鎖されましたが、3つ目はまだ開放されており、当時、1,200人弱のユーザーがOski情報スティーラーをダウンロードしていたことが明らかになりました。ファイルを実行してコンピューターを感染させた人たちは、ブラウザーに保存されているパスワードと暗号通貨のウォレットを不注意で危険にさらしました。
本当に残念なのは、平均的なユーザーが検出することはほぼ不可能である比較的高度な攻撃ですが、この特定のDNSハイジャックキャンペーンの犠牲になるのは非常に簡単なことです。確認する必要があるのは、ルーターへのリモートアクセスが、ブルートフォースすることは事実上不可能である一意で複雑なパスワードに依存していることだけです。