Attacchi a impostazioni DNS di router domestici per veicolare App malevola

25/03/2020

coronavirus covid19 trojan

Secondo quanto riportato da BleepingComputer, ancora una volta, l’emergenza CoronaVirus è utilizzata da utenti malintenzionati. In particolare, alcuni ricercatori hanno scoperto una nuova campagna di attacchi che mira a cambiare le impostazioni DNS dei router domestici D-Link o Linksys per mostrare al browser dell’utente avvisi su false informazioni riguardanti COVID-19 affermando che si tratta di un’App controllata dall’OMS (Organizzazione mondiale della Sanità).

Se un utente scarica e installa l’applicazione, invece di ricevere un’applicazione di informazioni COVID-19, installa un trojan con capacità di esfiltrare dati. Nel dettaglio può avere accesso a:

  • cookie del browser;
  • cronologia del browser;
  • credenziali di accesso salvate;
  • portafogli di criptovalute;
  • file di testo;
  • Database di autenticazione 2FA;
  • Screenshot del desktop.

    Mitigazione

    Verificare le impostazioni DNS del proprio router, assicurarsi che non siano configurati i server 109.234.35.230 e 94.103.82.249, eventualmente impostare in  “Automatico” o modificare manualmente i DNS con indirizzi noti.