Malware troca DNS de roteadores via mobile

Pesquisadores daTrend Micro se depararam com um pedaço de JavaScript que é capaz de mudar as configurações de DNS de roteadores domésticos a partir de dispositivos móveis.
O malware, apelidado pela Trend Micro de JS_JITON , foi distribuído através de sites comprometidos na Rússia e de vários países asiáticos. Quando esses sites comprometidos são visitados a partir de um dispositivo móvel, o JS_JITON é entregue e baixa uma ameaça (detectada como JS_JITONDNS) que é projetada para alterar as configurações de DNS do roteador do dispositivo infectado está conectado.
Desta forma, acessos legítimos podem levar o usuário, automaticamente e sem evidências, à sites perigosos e falsos, facilitando um ataque do tipo phishing , mas diferente destes por não exigir a participação do usuário (como em um e-mail infectado que o usuário precisa clicar ou abrir).
De acordo com a Trend Micro, a campanha começou em dezembro de 2015 e afetou principalmente os usuários em Taiwan (27%), Japão (19%), China (12%), Estados Unidos (8%) e França (4%). Infecções também foram avistadas no Canadá, Austrália, Coréia, Hong Kong, Holanda e outros países.
Uma análise do código do JS_JITON revelou que o malware inclui 1.400 combinações de credenciais comuns que podem ser usados para acessar a interface de administração do roteador, o que pode permitir que atacantes para acessar o dispositivo e alterar suas configurações de DNS. Os especialistas também descobriram o uso de uma antiga exploração (CVE-2014-2321), que permite que atacantes remotos obtenham acesso de administrador para alguns modems ZTE.
Enquanto o malware inclui códigos para a segmentação dos produtos de vários fabricantes de roteadores (incluindo D-Link e TP-Link), a Trend Micro diz que a maior parte do código foi comentada. Por enquanto, apenas o modem ZTE parece estar ativo e só funciona se o malware é executado a partir de um dispositivo móvel.
Os pesquisadores observaram que os sites comprometidos também servem JS_JITON quando acessado de um computador desktop, mas a cadeia de infecção é diferente.
A Trend Micro notou que os scripts maliciosos foram atualizados regularmente pelos autores de malware - ao ponto de incluir a funcionalidade keylogger (interceptação das teclas digitadas) para roubar dados inseridos em sites específicos - o que poderia indicar que a ameaça ainda está sendo testada.