.Default.reDropDownBody { min-width: 60px; }
En
پنج‌شنبه, 8 تير 1396
  • En
عنوان : كشف تازه آزمایشگاه Kaspersky
کد خبر : ۲۱۶۲
تاريخ :
 ۱۳۹۵/۱۲/۰۳ 
ساعت : ۱۲:۷:۳۸

امتیاز :  ۴/۵۰ |  مجموع :  ۲

یک تروجان اندرویدی جدید از دستگاه های قربانیان برای الوده سازی رهیاب های وای فای و فرستادن کاربران به سایت های مخرب استفاده میکند. این بدافزار کاربران را بصورت مستقیم هدف قرار نمیدهد، بلکه با تبدیل کاربران به همدست خود حمله های آتی را تسهیل میکند.
محققان ازمایشگاه کسپرسکای (Kaspersky) که این بدافزار را کشف کرده و آنرا تروجان سوییچر نامیدند ادعا میکنند که دو نوع از این بدافزار را مشاهده کرده اند. به گفته ی نیکیتا بوچکا (Nikita Buchka)، کارشناس امنیت موبایل ، مهاجمین از هردو نوع برای کنترل 1280 شبکه بیسیم که بیشتر انها در چین قرار دارند استفاده کرده اند.
یک نوع از این بدافزار برای موتور جستجوی بایدو (Baidu) چین مانند یک کاربرعمل میکند. نوع دیگر آن وانمود میکند که نسخه ای از یک برنامه است که برای پیدا کردن و به اشتراک گذاری اطلاعات ورود به وای فای استفاده میشود. به محض اینکه قربانی یکی از این دو نوع را دانلود کند شروع به کار و به رهیاب حمله میکند. این بدافزار این کار را از طریق حمله ی حدس رمز عبور در واسط شبکه انجام میدهد.
پس از ورود، سوییچر ادرس های سرور های DNS رهیاب را با یک سرور تقلبی که توسط هکر کنترل میشود و همچنین یک DNS دیگر برای زمانی که سرورتقلبی  با شکست روبرو شود جایگزین میکند. بدین صورت تمام جستجوها از طرف دستگاه در شبکه به سرور هکر تغییر مسیر می دهند و این میتواند قربانیان را در معرض حمله های  تغییر مسیر، فیشینگ، بدافزار و اگهی افزار قرار دهد.
بنا به گزارش روز چهارشنبه ازمایشگاه کسپرسکای:"  توانایی تروجان سوییچر برای حمله ی DNS به مهاجمان کنترل کاملی بر فعالیت های شبکه که از سیستم تعیین نام استفاده میکنند میدهد. این روش به این دلیل موفق است که رهیاب های بیسیم معمولا تنظیمات DNS تمام دستگاه های داخل شبکه را به تنظیات خود تغییر میدهند و بدین ترتیب همه را مجبور میکنند که از یک DNS جعلی استفاده کنند."
اما سازندگان تروجان در مورد ایجاد بخش های فرمان و وبسایت کنترل مقداری بی توجه بوده اند. انها جدولی از آمار آلودگی های داخلی را در مقابل دید قرار داده اند. به گفته ی بوچکا که از وبسایت دیدن کرده است، مهاجمین ادعا میکنند که در چند هفته ی اخیر به 1280 شبکه ی وای فای نفوذ کرده اند.
در گزارشی از سکورلیست (Securelist) در مورد این بدافزار که در روز چهارشنبه منتشر شد، بوچکا به کاربران اخطار داد تا تنظیمات  DNS خود را بررسی کنند و به دنبال این سرورهای تقلبی باشند:
101.200.147.153, 112.33.13.11 و  120.76.249.59.  او همچنان کاربران را تشویق کرد تا اطمینان حاصل نمایند که نام کاربری و رمز عبور رهیاب خود را تغییر داده اند- هرچند برای بسیاری از کاربران نیازی به یاداوری این نکته نیست.
چندین هفته پیش تعدادی کاربر رهیاب در المان قربانی گونه ای از بدافزار میرای (Mirai) –بدافزاری که هم معنی نقاط ضعف اینترنت اشیا است- شدند که کنترل دستگاه های انها را بدست اورد. گرچه این رهیاب ها دچار ضعف هاردکود شده ی نام کاربری/رمز عبور نبودند،  درگاه 7547 انها که معمولا توسط ارایه دهندگان خدمات اینرنتی برای کنترل دستگاه از راه دور استفاده میشود، باز بود.




رفتار سوییچرتا حدودی مشابه رفتار برنامه ی تغییر DNS، بدافزاری که تغییر کاربری داده شده تا مانند یک exploit kit  عمل کند.  یک حمله ی اخیر که توسط پروف پوینت (Proofpoint) مشاهده شد رهیاب های بیسیم را هدف قرار میداد تا مدخل های DNS را تغییر دهد و ترافیک سرقت کند. در این مورد رهیاب های ساخت D-Link, Netgear, Pirelli و Comtrendدچار ضعف بودند. به گفته ی بوچکا نام های هارد کود شده ی میدان ورودی و ساختارهای مدارک HTML که تروجان سوییچر تلاش میکند به انها دسترسی یابد نشان میدهد که این بدافزار ممکن است تنها روی واسط شبکه ی رهیاب های وای فای TP-LINK کارکند.

نمایش تعداد بازدیدها : 535

بازگشت           چاپ چاپ         
 
go top

© تمامی حقوق این پورتال محفوظ و در اختیار گروه دوران می باشد. Copyright 2000 — 2016 DOURAN Information Technologies All rights reserved.

DOURAN Portal V4.0.0.0

V4.0.0.0