Grupi i Hacker e cila qëndron pas shpërndarjes së saj Malware në roaming Mantis, përditësoi versionin Android të malware për të përfshirë a Konvertuesi DNS
Metoda e tij Ndryshues DNS modifikon cilësimet DNS në ruterat e cenueshëm WiFi për të përhapur infeksionin në pajisje të tjera.
Nga Shtator 2022, studiuesit e sigurisë vunë re se grupi i hakerëve që qëndronin pas malware të "Mantis roaming”, ata vazhduan me shpërndarjen e një versioni të ri të malware Wroba.o/XLoader në Android, i cili zbulon ruterat e cenueshëm WiFi bazuar në modelin e tyre dhe ndryshon DNS-në e tyre.
Malware më pas krijon një kërkesë HTTP për të ngatërruar cilësimet DNS të një ruteri të cenueshëm WiFi, duke bërë që pajisjet e lidhura të ridrejtohen në faqet e internetit me qëllim të keq që strehojnë forma phishing ose hedhin malware Android.
Varianti i ri i malware Wroba.o/XLoader për Android zbuluar prej tyre Studiuesit e Kaspersky, të të cilët kanë vite që monitorojnë aktivitetin e transmetimit të Mantis. Kaspersky shpjegon se Mantis roaming përdor metodën e tij Rrëmbimi i DNS të paktën që nga viti 2018, por elementi i ri në lëshimin e tij të fundit është se malware synon ruterë të veçantë.
Fushata e fundit duke përdorur këtë malware të përditësuar synon modele specifike të ruterave WiFi që përdoren kryesisht në Korea e jugut. Megjithatë, hakerët mund ta ndryshojnë atë në çdo kohë për të përfshirë ruterë të tjerë që përdoren zakonisht në vende të tjera.
Kjo qasje u lejon atyre të kryejnë sulme më të synuara dhe të komprometojnë vetëm përdorues dhe zona specifike, duke shmangur zbulimin në të gjitha rastet e tjera.
Sulmet e mëparshme Roaming Mantis synonin përdoruesit nga Japonia, Austria, Franca, Gjermania, Turqia, Malajzia dhe India.
Një zgjidhës i ri DNS i ruterit
Edicionet e tij të fundit Mantis roaming përdorni tekste SMS phishing (duke smirë) për të drejtuar objektivat në një faqe interneti me qëllim të keq.
Nëse pajisja e përdoruesit është Android, ai do t'i kërkojë përdoruesit të instalojë një të tillë APK me qëllim të keq, e cila është e ngarkuar me malware Wroba.o/XLoader, ndërsa në kundërshtim me përdoruesit Apple iOS, faqja e uljes do t'i ridrejtojë përdoruesit në një faqe phishing që përpiqet të vjedhë kredencialet.
Pasi malware XLoader të instalohet në pajisjen Android të viktimës, ai merr adresën IP të parazgjedhur të portës nga ruteri i lidhur WiFi dhe më pas përpiqet të hyjë në menynë e administratorit të ruterit duke përdorur një fjalëkalim të paracaktuar për të zbuluar modelin e pajisjes.
XLoader Kontrollo modelin e ruterit WiFi (Kaspersky)
XLoader tani funksionon 113 vargje me kod të fortë me kodin e përdorur për të hetuar në modele specifike të ruterave WiFi - dhe nëse gjendet një përputhje, malware vazhdon të hakojë DNS duke ndryshuar cilësimet e ruterit.
Malware kryen ndryshimin e DNS në ruter (Kaspersky)
Η Kaspersky deklaron se Ndryshues DNS përdor kredencialet e paracaktuar (administratori / administratori) për të hyrë në ruter dhe më pas bëni ndryshime në cilësimet DNS duke përdorur metoda të ndryshme në varësi të modelit të zbuluar.
Analistët shpjegojnë gjithashtu se serveri DNS i përdorur nga Mantis roaming, ndryshon vetëm emra të caktuar domenesh në faqe të caktuara uljeje kur aksesohen nga një Smartphone.
Përhapja e infeksionit
Me cilësimet DNS në ruter të ndryshuar tani, kur pajisjet e tjera Android lidhen me rrjetin WiFi, ato do të ridrejtohen automatikisht në faqen e uljes me qëllim të keq dhe do t'u kërkohet të instalojnë malware.
Ky fakt krijon një fluks të vazhdueshëm pajisjesh të infektuara për të hakuar më tej ruterat e tjerë të pastër WiFi në rrjetet publike, duke i shërbyer një numri të madh njerëzish në vend.
Η Kaspersky paralajmëron se kjo veçori i jep ekipit Roaming Mantis aftësinë për t'u zgjeruar në mënyrë të rrezikshme, duke lejuar që malware të përhapet pa kontroll.
Edhe pse nuk ka faqe ulje të vendosura në SHBA dhe Roaming Mantis nuk duket se synon në mënyrë aktive modelet e ruterit në përdorim në vend, statistikat e tij Kaspersky tregojnë se 10% e të gjitha viktimave të XLoader janë në SHBA.
Përdoruesit mund të mbrohen nga sulmet e tij Mantis roaming shmangia e klikimit në lidhjet e marra me SMS, megjithatë, është edhe më e rëndësishme shmangni instalimin e një APK jashtë Google Play Store.
Mos harroni ta ndiqni Xiaomi-miui.gr në Google News për t'u informuar menjëherë për të gjithë artikujt tanë të rinj! Ju gjithashtu mundeni nëse përdorni lexues RSS, të shtoni faqen tonë në listën tuaj, thjesht duke ndjekur këtë lidhje >> https://news.xiaomi-miui.gr/feed/gn
Na ndiqni Telegram në mënyrë që të jeni të parët që mësoni çdo lajm tonën!
