按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

國內與美國網通大廠路由器遭駭,用戶會被誤導下載惡意軟體

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:5232
國內與美國網通大廠路由器遭駭,用戶會被誤導下載惡意軟體 TWCERT/CC

資安廠商發現新型駭侵手法,駭侵者駭入國內與美國網通大廠家用路由器,竄改 DNS 設定,以提供COVID-19(新冠肺炎、武漢肺炎)資訊為由,誘使用戶下載惡意軟體。

資安廠商 Bitdefender 的研究團隊發表最新報告指出,該公司發現新型駭侵手法;駭侵者駭入國內與美國網通大廠家用路由器,竄改 DNS 設定,將用戶的部分網路連線重新導向至不明網站,並以提供COVID-19資訊為由,誘使用戶下載惡意軟體。

據 Bitdefender 的報告,這波駭侵攻擊首先以暴力嘗試法,試圖找出家用路由器的管理者帳密,登入成功後會進入 web 管理界面,將 DNS 伺服器設定更改為 109.234.35.230 與 94.103.82.249,接下來利用這兩台假的 DNS 伺服器,將部分特定網路瀏覽流量導向至存有惡意軟體 Bitbucket 的網站。

為了防止用戶發現網址有異,駭侵者也利用 TinyURL 縮址服務,隱藏 Bitbucket 的真實網址,等用戶按下下載按鈕後,即讓用戶安裝 Oski 資訊竊取惡意軟體。

會被劫持至惡意網站的 URL,包括 aws.amazon.com、gog.gl、bit.ly、disney.com、pubads.g.doubleclick.net 等,含蓋一般用戶常去的網站,或是網頁元件的常用 hosting 網址等。

據 Bitdefender 表示,一星期以來約觀測到千餘起攻擊事件;建議路由器用戶,請務必檢視自己路由器的 DNS 設定,如果發現被改為上述 IP,請立即更正。

回頁首