ハッカーは、現在のコロナウイルス(COVID-19)の流行に対する恐怖をサイバー攻撃の餌として利用しています。コロナウイルスマップユーザー情報を盗む、または偽るコロナウイルス追跡アプリAndroid デバイスをロックすること、または次のことを約束する悪意のある Android アプリをロックすることコロナウイルス安全マスク、または報告された世界保健機関に対するハッキングの試み(誰が)。
新たに発見されたサイバー攻撃キャンペーンにおいて、ハッカーがルータのDNS設定をハイジャックして、Webブラウザに偽のWHOの新型コロナウイルス感染症に関する警告を表示させ、Windowsコンピュータのユーザーを悪意のあるコンテンツにリダイレクトしていると報告されていることが研究者らによって判明した。
によるとピーピーコンピュータキャンペーンの被害者は、ウェブブラウザが自動的に開き、WHOから提供されたとされる「緊急 – 新型コロナウイルス感染症情報提供者」または「新型コロナウイルス感染症感染症情報アプリ」をダウンロードするよう指示するメッセージを表示するのを目撃した。実は、この不正アプリは「Oksi」と呼ばれる情報窃取マルウェアです。
詳しい調査の結果、これらのアラートは、被害者の自宅の D-Link または Linksys ルーターに設定されている DNS サーバーを、攻撃者が運用する DNS サーバーを使用するように変更するサイバー攻撃の結果であることが判明しました。
専門家によると、ほとんどのコンピューターはルーターから提供される IP アドレスと DNS 情報を使用するため、悪意のある DNS サーバーは被害者を攻撃者の制御下にある悪意のあるコンテンツにリダイレクトします。
知らない人のために説明すると、Oksi は、保存されたログイン資格情報、暗号通貨ウォレット、テキスト ファイル、ブラウザ フォームの自動入力情報、Authy 2FA 認証データベースだけでなく、Cookie、インターネット履歴、支払い情報などのブラウザベースのデータを盗むことができます。
攻撃者がどのようにして影響を受けるルーターにアクセスしたのかはまだ不明ですが、一部のユーザーは、リモート アクセス機能を弱い管理者パスワードで有効にしたままにしていたと述べています。
ジュニパーネットワークスのグローバル セキュリティ戦略ディレクター、ローレンス ピット氏は、「この攻撃は、ホーム ルーターのデフォルトのユーザー名とパスワードを確実に変更する必要性を浮き彫りにしています。影響を受けたユーザーの多くは、その組み合わせが脆弱であったり、デフォルトの組み合わせであることを認めているからです」と述べています。 。 「現在、ほとんどのインターネットプロバイダーは、適切な強度のデフォルトセキュリティ設定を備えたルーターを提供しています。この攻撃は特定のブランドのルーターをターゲットにしているようで、ユーザーがデフォルトの管理者とパスワードの組み合わせをそのままにしてデバイスにアクセスしていることも示唆されます。」
BleepingComputer によると、コンピューターがネットワークに接続する際、Microsoft は「」と呼ばれる機能を使用します。ネットワーク接続ステータス インジケーター (NCSI)' インターネット接続を確認します。
この場合、悪意のある DNS サーバーは、正規の Microsoft IP アドレスに接続する代わりに、偽の「緊急 – 新型コロナウイルス感染症情報提供者」または「新型コロナウイルス感染症 (COVID-19)」をダウンロードしてインストールするよう警告を表示するハッカーが管理するサイトにユーザーを送信します。 WHOからアプリに通知します。
ユーザーが新型コロナウイルス感染症情報アプリを受け取る代わりに、アプリケーションをダウンロードしてインストールすると、Oski 情報を盗むトロイの木馬彼らのコンピュータにインストールされます。
このマルウェアは、起動されると、ブラウザの Cookie、ブラウザのインターネット履歴、ブラウザの支払い情報、保存されたログイン資格情報、暗号通貨ウォレット、テキスト ファイル、ブラウザ フォームの自動入力情報、Authy 2FA 認証データベース、ユーザーのデスクトップのスクリーンショットなどの情報を盗もうとします。感染時期など。
この盗まれた情報はリモート サーバーにアップロードされ、攻撃者はそこでデータを収集して、被害者のオンライン アカウントに対してさらなる攻撃を実行して、銀行口座からの金銭の窃盗、個人情報の盗難、またはさらなるスピア フィッシング攻撃を実行します。
ブラウザーが COVID-19 情報アプリのプロモーション ページをランダムに開く場合は、ISP から DNS サーバーを自動的に受信できるようにルーターを再構成してください。また、パスワードをより強力なものにリセットし、ルーターのリモート管理を無効にすることをお勧めします。
新型コロナウイルス感染症 (COVID-19) アプリをダウンロードしてインストールした人は、すぐにコンピューターでマルウェア スキャンを実行してください。クリーンアップしたら、ブラウザに認証情報が保存されているすべてのサイトと、感染後にアクセスしたサイトのパスワードを必ず変更してください。最も重要なことは、パスワードをリセットする際には、すべてのサイトで必ず一意のパスワードを使用することです。
