Эксплойт-пак Novidade бьет по домашним роутерам

Эксперты Trend Micro обнаружили новый эксплойт-пак, который атакует домашние роутеры. Первые кампании вредоноса были направлены на жителей Бразилии, однако с октября 2018 года он распространил активность и на другие страны.

Зловред получил название Novidade (от порт. «новинка») — так озаглавлены страницы, на которые организаторы кампаний заманивают своих жертв. Преступники продвигают эксплойт-пак с помощью целого набора различных техник: от вредоносных рекламных баннеров и рассылок в мессенджерах до внедрения своего кода в легитимные интернет-страницы.

Так, в одном случае злоумышленники использовали тему президентских выборов, которые состоялись в Бразилии в октябре 2018 года. Жертвы через мессенджеры получали приглашение к участию в опросе общественного мнения, в страницу которого был внедрен зловред. Организаторы также обеспечили себе дополнительный вектор распространения: в конце опроса пользователей просили отправить ссылку на сайт 30 своим знакомым, чтобы узнать результаты анкетирования.

Исследователи рассказали, что когда жертва переходит на страницу мошенников, дальнейшая атака развивается автоматически. Сначала сайт отправляет несколько HTTP-запросов на локальные IP-адреса, которые традиционно занимают роутеры. При успешном соединении Novidade загружает на точку доступа эксплойт в зашифрованном виде и пытается авторизоваться в домашней сети с помощью заводских учетных данных устройства.

Если пользователь оставил на своем роутере логин и пароль «по умолчанию», вредонос проводит межсайтовую подделку запросов (Сross Site Request Forgery), подменяя легитимный DNS-сервер машрутизатора на подконтрольный злоумышленникам. После этого преступники могут перехватывать сетевые запросы от всех устройств, которые подключаются к скомпрометированной точке доступа.

В результате они могут, например, подменить страницу онлайн-банка и похитить введенные логин и пароль пользователя. Именно по такому сценарию развивались первые атаки в августе 2017 года, и на данный момент учетные данные на сайтах кредитных учреждений остаются одной из главных целей злоумышленников. Однако за прошедшее время преступники доработали код Novidade и расширили его применение.

Технологические изменения коснулись посадочных страниц, на которых происходит заражение. Разработчики второго поколения добавили в код JavaScript-обфускатор, позволяющий менять оформление сайта в зависимости от конкретной атаки. Третья версия научилась определять локальный IP-адрес жертвы, отправляя запрос STUN-серверу по протоколу WebRTC. Она также использует короткие ссылки, чтобы отслеживать статистику заражений.

В последнее время преступники применяют второе и третье поколения Novidade. В частности, именно этот зловред был задействован в недавних атаках ботнета GhostDNS. Самая крупная кампания, которую удалось обнаружить как раз через ссылку со статистикой, за девять месяцев доставила эксплойт-пак на 24 млн хостов.

Столь активное применение Novidade в не связанных между собой атаках позволило исследователям предположить, что зловред используют одновременно несколько группировок. Об этом же говорит и географическая экспансия, которую эксперты наблюдают в последние месяцы. По словам аналитиков, разные преступники могут либо платить создателю ПО за аренду, либо использовать собственную копию Novidade после утечки кода эксплойт‑пака.

Чтобы защититься от этих угроз, эксперты рекомендуют пользователям вовремя обновлять прошивку своих роутеров. При первом включении желательно не только сменить заводские учетные данные, но и установить собственный IP‑адрес. Наконец, необходимо запретить удаленный доступ к устройству и использовать HTTPS при подключении к онлайн-банкам и прочим важным ресурсам.

12.12.2018
https://threatpost.ru/novidade-exploit-pack-attacking-home-soho-routers/29690/​