התקפות חטיפת DNS מוסיפות יכולות כרייה ותמיכה ב-27 שפות, כולל עברית
מאת:
מערכת Telecom News 21.5.18, 19:35
התקפות חטיפת ה-DNS של Roaming Mantise - קוד זדוני לאנדרואיד, מתרחבות ומוסיפות יכולות כרייה, הפניה לדפי פישינג הקשורים לאפל, במקרה והקוד הזדוני מגיע למכשיר iOS, וטווח ההתקפה רחב עם תמיכה גם בעברית. מה שיטת ההתקפה ומה עושים?
ב-
16.4.18,
דיווחו חוקרי מעבדת קספרסקי על קוד זדוני חדש ל
אנדרואיד המופץ באמצעות טכניקה של חטיפת מערכת שמות דומיין (
DNS) ותוקף בעיקר מכשירים ניידים באסיה. כעת האיום ממשיך להתפתח במהירות והוא פעיל גם באירופה והמזרח התיכון. לאיום נוספו גם יכולות פישינג במכשירי
iOS ויכולות כריית מטבע קריפטוגרפי.
הקמפיין, שקיבל את השם
Roaming Mantis, תוכנן בעיקר כדי לגנוב נתונים של משתמשים, כולל הרשאות גישה, כדי לספק לתוקפים שליטה מלאה על המכשיר הפגוע. החוקרים מאמינים, שמאחורי הקמפיין עומדת קבוצת עברייני הסייבר דוברת קוריאנית או סינית הפועלת במטרה להשיג רווח כספי.
שיטת ההתקפה
ממצאי החברה מצביעים על כך, שהתוקפים, שעומדים מאחורי
Roaming Mantis, מחפשים אחר נתבים פגיעים, ומפיצים את הקוד הזדוני שלהם באמצעות טריק פשוט אך יעיל מאוד של חטיפת הגדרות
DNS בנתבים שנפגעו. שיטת ההדבקה של הנתב עדיין אינה ידועה.
ברגע שה-
DNS נחטף בהצלחה, כל ניסיון מצד המשתמשים, לגשת לכל אתר, מוביל אותם לתוכן מזויף משרתי התוקפים המוצג תחת
URL, שנראה אמתי. התוכן כולל את הבקשה: "כדי ליהנות מחווית גלישה טובה יותר, עדכן לגרסה האחרונה של כרום". לחיצה על הקישור בעמוד מפעילה התקנה של אפליקציה טרויאנית בשם "
facebook.apk" או "
chrome.apk", שמכילה את הדלת האחורית של התוקפים לאנדרואיד.
הקוד הזדוני של
Roaming Mantis בודק אם המכשיר פרוץ (
rooted) ומבקש גישה לקבלת התראות אודות כל תקשורת או פעילות גלישה, שמבצע המשתמש. הוא גם מסוגל לאסוף טווח רחב של נתונים, כולל הרשאות לאימות דו שלבי (
two-factor). המיקוד של התוקפים בתחומים אלה, והעובדה, שחלק מהקוד הזדוני כולל התייחסות ל-
ID של אפליקציות בנקאות ומשחקים הנפוצים בדרום קוריאה, מצביעים על מניע פיננסי העומד מאחורי הקמפיין.
פעילות גיאוגרפית מורחבת ומאפיינים חדשים
המחקר הראשוני של החברה חשף כ-150 מטרות, בעיקר בדרום קוריאה, בנגלדש ויפן, אבל הוא גם חשף אלפי קישורים על בסיס יומי, שהפנו לשרתי הפיקוד והשליטה (
C2) של התוקפים, דבר המצביע על מתקפה בהיקף גדול בהרבה. הקוד הזדוני כולל תמיכה ב-4 שפות: קוריאנית, סינית, יפנית ואנגלית.
כעת, הורחב גם טווח ההתקפה, עם תמיכה ב-27 שפות, כולל גרמנית, ערבית, רוסית ו
עברית. התוקפים גם הציגו הפניה לדפי פישינג הקשורים ל
אפל, במקרה והקוד הזדוני מגיע למכשיר
iOS. התוספת האחרונה למחסן הנשקים של התוקפים היא אתר זדוני עם יכולת של
כריית מטבעות קריפטוגרפיים במחשבים אישיים. תצפיות של החברה מצביעות על כך, שבוצע לפחות גל אחד של מתקפות נרחבות, כשהחוקרים מציינים יותר מ-100 מטרות בקרב לקוחות החברה, שזוהו במהלך מספר ימים.
כדי להגן על החיבור לרשת מפני הדבקה, מומלץ:
- פנה למדריך המשתמש של הנתב שלך כדי לוודא, שהגדרות ה-DNS לא שונו, או פנה לספק השירות שלך.
- שנה את הרשאות הגישה לממשק הניהול המקוון של הנתב, ועדכן בקביעות את קושחת הנתב מתוך מקור רשמי.
- לעולם אל תתקין קושחת נתב ממקור חיצוני. הימנע מהתקנה של אפליקציות מגורמים חיצוניים במכשיר האנדרואיד שלך.
- יותר מכך, תמיד בדוק את הכתובת בדפדפן כדי להבטיח, שהיא מתאימה. חפש אחר סימנים כגון https כאשר אתה מתבקש להזין מידע.
- שקול התקנה של פתרון אבטחה לניידים, כדי להגן על המכשירים שלך מפני איומים אלה.
סוגורו אישמרו, חוקר אבטחה במעבדת קספרסקי יפן: "כאשר דיווחנו על
Roaming Mantis לראשונה באפריל, אמרנו, שמדובר באיום פעיל המשתנה במהירות. העדות החדשה מצביעה על התרחבות משמעותית מבחינה גיאוגרפית, אל עבר אירופה, המזרח התיכון ועוד. אנו מאמינים, שהתוקפים הם עברייני סייבר המחפשים להשיג רווחים כלכליים, ומצאנו מספר רמזים המצביעים על כך, שהתוקפים הם דוברי סינית או קוריאנית. השימוש בנתבים פגועים ובחטיפת
DNS רק מדגיש את הצורך בהגנה חזקה על מכשירים ובשימוש בקישוריות מאובטחת".
מידע נוסף -
כאן.