DNS-Hijacking Malware tấn công IOS, Android và máy tính trên toàn thế giới

May 29, 2018

Theo các chuyên gia, bộ định tuyến của DNS-Hijihacking Malware gần đây đã tấn công vào các thiết bị Android cũng như IOS và người dùng máy tính.
Được gọi là Roaming Mantis, vào tháng trước phần mềm đã được tìm thấy khi tấn công vào hệ thống thư viện của android, phần mềm này được thiết kế để đánh cắp thông tin đăng nhập và mã xác thực 2 lớp của người dùng cuối.
Theo các nhà nghiên cứu bảo mật tại Kaspersky Lab, nhóm tội phạm đằng sau chiến dịch Roaming Mantis đã mở rộng mục tiêu bằng cách tạo thêm các cuộc tấn công lừa đảo cho các thiết bị iOS và kịch bản khai thác tiền điện tử cho người dùng PC.
Các cuộc tấn công ban đâu chỉ nhắm vào người dùng Đông Nam Á bao gồm Hàn Quốc, Trung Quốc Bangladesh và Nhật Bản thì nay chúng đã mở rộng hỗ trợ tới 27 ngôn ngữ khác nhau nhắm vào Châu Âu và các nước Trung Đông.
Tương tự như phiên bản trước, phần mềm độc hại Roaming Mantis mới được phân phối thông qua DNS-Hijacking , trong đó kẻ tấn công thay đổi cài đặt DNS của các bộ định tuyến không dây để chuyển hướng lưu lượng truy cập đến các trang web độc hại do chúng kiểm soát.
Vì vậy, bất cứ khi nào người dùng cố gắng truy cập bất kỳ trang web nào thông qua bộ định tuyến bị xâm phạm, họ đều được chuyển hướng đến các trang web lừa đảo.
“Sau khi người dùng [Android] được chuyển hướng đến trang web độc hại, họ được nhắc cập nhật [ứng dụng] trình duyệt. Điều này dẫn đến việc tải xuống ứng dụng độc hại có tên là chrome.apk (cũng có một phiên bản khác có tên là facebook.apk)”.
Để tránh phát hiện, các trang web tạo một gói cài đặt tương tự các ứng dụng nổi tiếng nhưng có thêm các chữ số vào cuối.
Sau khi cài đặt, những kẻ tấn công có thể kiểm soát các thiết bị Android bị nhiễm bằng cách sử dụng 19 lệnh backdoor tích hợp, bao gồm – sendSms, setWifi, gcont, lock, onRecordAction, gọi, get_apps, ping và nhiều hơn nữa.
Nếu người dùng sở hữu thiết bị iOS, phần mềm độc hại sẽ chuyển hướng người dùng đến trang web lừa đảo mạo danh trang web của Apple, yêu cầu họ là ‘security.app.com’ và yêu cầu họ nhập ID người dùng, mật khẩu, số thẻ, ngày hết hạn thẻ của họ và số CVV.
Bên cạnh việc ăn cắp thông tin nhạy cảm từ thiết bị Android và iOS, các nhà nghiên cứu nhận thấy rằng Roaming Mantis là một tập lệnh khai các thiết bị dựa trên trình duyệt từ CoinHive trên mỗi trang nếu được truy cập bằng trình duyệt trên máy tính để khai thác Monero.
Để bảo vệ bản thân trước phần mềm độc hại như vậy, bạn nên đảm bảo rằng bộ định tuyến của mình đang chạy phiên bản phần mềm mới nhất và được bảo vệ bằng mật khẩu mạnh.
Việc hack này, sử dụng các máy chủ DNS để tấn công và kiểm soát, giả mạo các miền hợp pháp và chuyển hướng người dùng đến tệp tải xuống độc hại, bạn nên đảm bảo rằng các trang web bạn đang truy cập đã bật HTTPS.
Bạn cũng nên tắt tính năng quản lý từ xa của bộ định tuyến và mã hóa máy chủ DNS đáng tin cậy vào cài đặt mạng của hệ điều hành.
Người dùng thiết bị Android luôn được khuyên nên cài đặt ứng dụng từ các trang uy tín và tắt cài đặt ứng dụng từ các nguồn không xác định trên điện thoại thông minh của họ bằng cách đi tới Cài đặt → Bảo mật → Nguồn không xác định.
Để kiểm tra xem bộ định tuyến Wi-Fi của bạn đã bị xâm nhập chưa, hãy xem lại cài đặt DNS của bạn và kiểm tra địa chỉ máy chủ DNS. Nếu nó không khớp với tên do nhà cung cấp của bạn cấp, hãy đổi nó trở lại đúng nhà cung cấp. Đồng thời thay đổi tất cả mật khẩu tài khoản của bạn ngay lập tức.
Biên tập viên DSH