Uwaga na niebezpieczne ataki na użytkowników ruterów TP-Link

dodał 31 października 2015 o 00:04 w kategorii Złośniki  z tagami:
Uwaga na niebezpieczne ataki na użytkowników ruterów TP-Link

Polscy użytkownicy ruterów marki TP-link narażeni są na rzadko ostatnio spotykany atak związany z podmianą adresów serwerów DNS i próbą nakłonienia do zainstalowania złośliwego oprogramowania na komputerze.

Od co najmniej tygodnia trwa oryginalny atak na polskich posiadaczy urządzeń TP-Link. Atakujący podmienia serwery DNS by przekierować użytkownika na stronę zachęcającą do instalacji złośliwego oprogramowania.

Nieśmiertelne DNSy

Atak jako pierwszy opisał CERT Orange Polska. Jego pracownicy trafili na stronę nakłaniającą użytkowników do instalacji złośliwego oprogramowania pod pozorem konieczności aktualizacji rutera TP-Link. Choć CERT Orange wskazuje, że złośliwy plik udający aktualizację skompilowany został 25 października, znaleźliśmy ślady ataku jeszcze o 2 dni wcześniejsze.

Nie znamy jeszcze metody za pomocą której atakujący uzyskują możliwość zmiany ustawień serwerów DNS, jednak nie da się ukryć, że co najmniej część urządzeń musi być nadal podatna na błąd pozwalający nieautoryzowanym użytkownikom na taką manipulację. Rutery, na których zmieniono ustawienia DNS, przekierowują każdą próbę wejścia na dowolną stronę WWW na serwer atakującego. Użytkownik, bez względu na to, czy korzysta z komputera czy z telefonu podłączonych do zainfekowanego rutera, widzi następującą witrynę:

Wygląd złośliwej witryny

Wygląd złośliwej witryny

Strona znajduje się pod adresem http://81.4.122.238/, jednak na zainfekowanym ruterze widoczna jest pod każdym otwieranym adresem.

Treść strony wygląda następująco:

TWÓJ FIRMWARE JEST NIEAKTUALNY! (v 3.7.0)
Ze względu na bezpieczeństwo twojego urządzenia i twoich poufnych danych, niezwłoczna jest aktualizacja firmware’u urządzenia TP-Link lub wgranie tymczasowej łatki, udaremniającej potencjalne zagrożenia.
Poniżej znajdziesz aktualizacje dla twojego urządzenia kompatybilną dla twojego systemu systemu Windows / Unix / MacOS.
firmware_tplink_3.8.1_x86_r10932.exe – Windows 7/8/10/XP x86/x64
firmware_tplink_3.8.1_x86_r10928 – Linux x86
firmware_tplink_3.8.1_x64_r10928 – Linux x64
firmware_tplink_3.8.1_mac_os – Mac OS

Komunikat jest najeżony błędami językowymi, jednak zawiera działające linki do plików binarnych.

Złośliwy plik

Poniżej zamieszczamy kilka istotnych informacji na temat złośliwego pliku (każdy z linków prowadzi do tego samego pliku):

  • nazwa: firmware_tplink_3.8.1_x86_r10932.exe
  • MD5: a0e2170f8f914d00eab08f7b3019d4ac
  • VirusTotal
  • Hybrid Analysis
  • Malwr
  • pierwsza obserwacja na VT: 2015-10-30 11:50
  • serwer C&C: 213.152.162.94, port 3837

Szczególnie ciekawy jest serwer C&C, znajdujący się w infrastrukturze firmy AirVPN świadczącej również usługi odwrotnego DNS ukrytego za VPN. Na ten adres IP (i port 3835) trafiliśmy w trakcie analizy ataku z końca sierpnia i początku września tego roku, który opisaliśmy w artykule Uwaga na nową falę ataków na internautów. Tym razem Roksa, pozwy i faktury. Niewykluczone, że za dzisiejszym atakiem stoi ten sam autor, co we wrześniu. Sam złośliwy program wydaje się być prostym koniem trojańskim (dostępnym w serwisie HackForums), którego głównym zadaniem jest przechwytywanie haseł użytkowników.