พบการ Hijack DNS ของเร้าเตอร์เพื่อ Redirect ผู้ใช้ไปยังเพจที่มีมัลแวร์ Android

พบการโจมตีโดยใช้วิธี Hijack DNS บนเร้าเตอร์ที่มีช่องโหว่เพื่อ Redirect ผู้ใช้ไปยังหน้าเพจที่มีมัลแวร์ของ Android จนถึงตอนนี้นักวิจัยยังไม่ทราบว่าแฮ็กเกอร์ใช้วิธีไหนเข้าถึงเร้าเตอร์ตามบ้านเพื่อไปเปลี่ยนแปลง DNS ได้ อย่างไรก็ตามนักวิจัยได้เก็บตัวอย่างของมัลแวร์ที่ชื่อ Roaming Mantis มาศึกษาถึงวิธีการทำงานด้วยเช่นกัน

Credit: ShutterStock.com

Kaspersky Lab พบว่ามีการ Hijack ทราฟฟิคเกิดขึ้นประมาณ 150 ไอพีซึ่งมีการ Redirect ผู้ใช้งานไปยังหน้าเพจอันตรายกว่า 6 พันครั้งระหว่าง 9 กุมภาพันธ์ ถึง 9 เมษายนที่ผ่านมา โดยแฮ็กเกอร์จะ Redirect ผู้ใช้ไปยังหน้าเพจเลียนแบบของแอปพลิเคชัน Android เช่น Google Chrome และ Facebook เป็นต้น นอกจากนี้เว็บไซต์ที่ตั้งแอปพลิเคชันปลอมและตัวแอปพลิเคชันเองสามารถรองรับภาษาได้ 5 ภาษาคือ เกาหลี ญี่ปุ่น อังกฤษ ตัวอักษรจีนแบบดั้งเดิมและแบบย่อ

จากการศึกษาตัวอย่างมัลแวร์ Roaming Mantis ซึ่งเป็นแอปพลิเคชันที่มุ่งเน้นเพื่อขโมยข้อมูลโดยไม่พบโค้ดที่ทำการขโมยเงินของผู้ใช้งานออกจากบัญชี แม้ว่ามันจะเจาะจงไปยังแอปพลิเคชัน เช่น เกมยอดนิยมและธนาคาร จากผู้ใช้งานในหลายประเทศ เช่น เกาหลีใต้ อินเดีย ญี่ปุ่น บังคลาเทศ อย่างไรก็ตาม Credential ที่ถูกขโมยไปอาจถูกใช้ปฏิบัตการหลอกลวงอื่นๆ ต่อไป ที่น่าสังเกตคือวิธีการแพร่พันธุ์มัลแวร์โดยการเข้าถึงเร้าเตอร์เพื่อ Hijack DNS ถือเป็นวิธีการใหม่สำหรับการโจมตีผสมผสานกับมัลแวร์ Android ดังนั้นแนะนำว่าควรอัปเดตแพตช์เร้าเตอร์อย่างสม่ำเสมอนะครับ



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Oracle ออกแพตช์ 254 ช่องโหว่ประจำเดือนเมษายน แนะผู้ใช้ควรอัปเดต

Oracle แพตช์ช่องโหว่กว่า 254 รายการซึ่ง 153 รายการ กระทบกับฝั่งผลิตภัณฑ์ที่สำคัญต่อธุรกิจ เช่น E-Business Suite, Fusion Middleware, Financial Service Application, …

Microsoft นำเทคโนโลยี Anti-Phishing ให้ใช้งานผ่าน Chrome Extension

Microsoft ได้ออก Chrome Extension ที่ชื่อ ‘Windows Defender Browser Protection’ ซึ่งภายในมีเทคโนโลยีเพื่อป้องกันการล่อลวงผู้ใช้งานเข้าเพจอันตรายด้วยการแสดงผลหน้าเพจเป็นสีแดงเมื่อกำลังเข้าสู่ลิ้งก์ที่ไม่น่าวางใจ