Woburn, Massachusetts – 19 januari 2023 – Heden Kaspersky onderzoekers gerapporteerd op een nieuwe functionaliteit voor het wijzigen van het domeinnaamsysteem (DNS) die wordt gebruikt in de beruchte Roaming Mantis-campagne. Cybercriminelen hebben aangetoond dat ze gecompromitteerde openbare wifi-routers kunnen gebruiken om te proberen meer Android-smartphones te infecteren met de Wroba.o-malware van de campagne. Aanvallers gebruikten de nieuwe techniek tegen gebruikers in Zuid-Korea, maar het zou binnenkort ook in andere landen kunnen worden geïmplementeerd. 

Roaming Mantis (ook bekend als Shaoye) is een cybercriminele campagne die voor het eerst werd waargenomen door Kaspersky in 2018. Het gebruikt schadelijke Android-pakketbestanden (APK) om geïnfecteerde Android-apparaten te controleren en apparaatinformatie te stelen. Het heeft ook een phishing-optie voor iOS-apparaten en cryptomining-mogelijkheden voor pc's. De naam van de campagne is gebaseerd op de verspreiding ervan via smartphones die roamen tussen Wi-Fi-netwerken, waardoor de infectie mogelijk wordt overgedragen en verspreid.

Nieuwe DNS-wisselaarfunctionaliteit om meer gebruikers aan te vallen via openbare routers

Kaspersky ontdekte dat Roaming Mantis onlangs een DNS-wisselaarfunctionaliteit (Domain Name System) heeft geïntroduceerd in Wroba.o (ook bekend als Agent.eq, Moqhao, XLoader), de malware die voornamelijk in de campagne werd gebruikt. DNS-wisselaar is een kwaadaardig programma dat het apparaat dat is verbonden met een gecompromitteerde Wi-Fi-router naar een server leidt die wordt beheerd door cybercriminelen in plaats van naar een legitieme DNS-server. Op de kwaadaardige bestemmingspagina wordt het potentiële slachtoffer gevraagd malware te downloaden die het apparaat kan besturen of inloggegevens kan stelen.

Op dit moment richt de bedreigingsactor achter Roaming Mantis zich exclusief op routers die zich in Zuid-Korea bevinden en zijn vervaardigd door een zeer populaire Zuid-Koreaanse leverancier van netwerkapparatuur. Om ze te identificeren, haalt de nieuwe DNS-wisselaarfunctionaliteit het IP-adres van de router op en controleert het model van de router, waardoor de gerichte instellingen in gevaar worden gebracht door de DNS-instellingen te overschrijven. In december 2022 constateerde Kaspersky 508 kwaadaardige APK-downloads in het land (zie tabel 1). 

Uit een onderzoek naar kwaadaardige bestemmingspagina's bleek dat aanvallers zich ook op andere regio's richten met behulp van smishing in plaats van DNS-wisselaars. Deze techniek maakt gebruik van sms-berichten om kwaadaardige links te verspreiden die het slachtoffer naar een kwaadaardige site leiden om malware op het apparaat te downloaden of om gebruikersgegevens te stelen via een phishing-website. Japan stond bovenaan de lijst met getargete landen met bijna 25,000 kwaadaardige APK-downloads van de door cybercriminelen gecreëerde landingen. Oostenrijk en Frankrijk volgden met elk ongeveer 7,000 downloads. Duitsland, Turkije, Maleisië en India maakten de lijst compleet. Kaspersky-onderzoekers voorspellen dat de daders binnenkort de DNS-wisselaarfunctie kunnen updaten om zich ook op wifi-routers in die regio's te richten. 

Tabel 1. Het aantal kwaadaardige APK-downloads per land op basis van onderzoek naar kwaadwillende bestemmingspagina's die zijn gemaakt binnen de Roaming Mantis-campagne, eerste helft van december 2022

Volgens statistieken van Kaspersky Security Network (KSN) in september – december 2022 was het hoogste detectiepercentage van Wroba.o-malware (Trojan-Dropper.AndroidOS.Wroba.o) in Frankrijk (54.4%), Japan (12.1%) en de VS (10.1%). 

"Wanneer een geïnfecteerde smartphone verbinding maakt met 'gezonde' routers in verschillende openbare plaatsen zoals cafés, bars, bibliotheken, hotels, winkelcentra, luchthavens of zelfs huizen, kan de Wroba.o-malware deze routers in gevaar brengen en ook andere verbonden apparaten aantasten," zei Suguru Ishimaru, senior beveiligingsonderzoeker bij Kaspersky. “De nieuwe DNS-wisselaarfunctionaliteit kan alle apparaatcommunicatie beheren met behulp van de gecompromitteerde wifi-router, zoals het omleiden naar kwaadwillende hosts en het uitschakelen van updates van beveiligingsproducten. Wij zijn van mening dat deze ontdekking van cruciaal belang is voor de cyberbeveiliging van Android-apparaten, omdat deze op grote schaal kan worden verspreid in de beoogde regio's. 

Ga naar om het volledige rapport over de nieuw geïmplementeerde DNS-wisselaarfunctionaliteit te lezen Veiligelijst.com.

Om uw internetverbinding tegen deze infectie te beschermen, bevelen Kaspersky-onderzoekers het volgende aan:

• Raadpleeg de gebruikershandleiding van uw router om te controleren of er niet met uw DNS-instellingen is geknoeid of neem contact op met uw internetprovider voor ondersteuning.

• Wijzig de standaard login en het wachtwoord voor de admin-webinterface van de router en werk regelmatig de firmware van uw router bij vanaf de officiële bron.

• Installeer nooit routerfirmware van bronnen van derden. Vermijd het gebruik van opslagplaatsen van derden voor uw Android-apparaten.

• Controleer verder altijd de browser- en websiteadressen om er zeker van te zijn dat ze legitiem zijn; zoek naar tekens zoals https wanneer u wordt gevraagd om gegevens in te voeren.

• Overweeg om een ​​mobiele beveiligingsoplossing te installeren, zoals Kaspersky, om uw apparaten tegen deze en andere bedreigingen te beschermen.

Over Kaspersky

Kaspersky is een wereldwijd bedrijf op het gebied van cyberbeveiliging en digitale privacy, opgericht in 1997. Kaspersky's diepgaande kennis van bedreigingen en beveiligingsexpertise wordt voortdurend getransformeerd in innovatieve beveiligingsoplossingen en -diensten om bedrijven, kritieke infrastructuur, overheden en consumenten over de hele wereld te beschermen. Het uitgebreide beveiligingsportfolio van het bedrijf omvat toonaangevende endpointbescherming en een aantal gespecialiseerde beveiligingsoplossingen en -diensten om geavanceerde en evoluerende digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers worden beschermd door Kaspersky-technologieën en we helpen 240,000 zakelijke klanten te beschermen wat voor hen het belangrijkst is. Meer informatie op usa.kaspersky.com.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.darkreading.com/remote-workforce/roaming-mantis-uses-dns-changers-to-target-users-via-compromised-public-routers