DNS: Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

Gehackte Router leiten bekannte Domains auf eine gefälschte Warnung der WHO um und versuchen, ihren Opfern eine Schadsoftware unterzujubeln.

Artikel veröffentlicht am ,
Schadsoftware statt Vireninfos der WHO
Schadsoftware statt Vireninfos der WHO (Bild: Mohamed Hassan/Pixabay)

Plötzlich zeigen verschiedene, bekannte Webseiten wie disney.com, aws.amazon.com oder xhamster.com einen Warnhinweis der Weltgesundheitsorganisation (WHO) zum Coronavirus an und lassen nur noch den Download einer Info-App zu. Die Webseite und der Hinweis sind jedoch eine Fälschung, mit der Angreifer ihre Opfer zur Installation einer Schadsoftware verleiten wollen.

Stellenmarkt
  1. E-Learning Spezialist (m/w/d)
    Big Dutchman International GmbH, Vechta
  2. (Senior) IT Consultant (m/w/d) Public Transport/ÖPNV
    AUSY Technologies Germany AG, Frankfurt am Main
Detailsuche

Um den Hinweis einblenden zu können, übernehmen die Angreifer den Router, ändern die DNS-Einstellungen und leiten die Domains auf ihren gefälschten Warnhinweis zum Coronavirus um. Laut der Sicherheitsfirma Bitdefender sollen die Angreifer bisher vor allem Router in den USA und Deutschland angegriffen haben.

Mit ihrer Kampagne docken die Angreifer an die Ängste rund um das aktuelle Thema Coronavirus an und versprechen auf einem WHO-Banner "die neuesten Informationen und Anweisungen zum Coronavirus (Covid-19)."

Doch statt der Info-App verbirgt sich hinter dem Downloadbutton die Schadsoftware Oski, die es unter anderem auf die im Browser gespeicherten Zugangsdaten, Cookies, den Browserverlauf und dort abgelegte Zahlungsinformationen sowie in Wallets abgelegte Digitalwährungen abgesehen hat. Die Schadsoftware wird über Bitbuckets von AWS ausgeliefert. Laut Bitdefender sind die Angreifer seit 18. März 2020 aktiv. Allein eines der mindestens vier Bitbuckets konnte in den vergangenen Tagen über 1.000 Downloads verzeichnen.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
  2. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
Weitere IT-Trainings

Um den Warnhinweis anzuzeigen, übernehmen die Angreifer verschiedene Routermodelle von D-Link oder Linksys. Wie dies geschieht, ist derzeit unbekannt. Bitdefender vermutet einen Brute-Force-Angriff, also das Durchprobieren von Passwortkombinationen. Es könnte jedoch auch sein, dass die Angreifer eine Sicherheitslücke ausnutzen.

  • Gefälschter Warnhinweis führt zu Schadsoftware. (Quelle: Bitdefender)
Gefälschter Warnhinweis führt zu Schadsoftware. (Quelle: Bitdefender)

Anschließend ändern die Angreifer die DNS-Server auf 109.234.35.230 und 94.103.82.249 ab. Diese leiten etliche bekannte Domains auf die Webseite mit dem Warnhinweis um. Unter den Betroffenen Domains sind neben disney.com, aws.amazon.com und xhamster.com auch goo.gl, bit.ly, washington.edu, imageshack.us, ufl.edu, pubads.g.doubleclick.net und redditblog.com. Damit keine verschlüsselte Verbindung zu den Webseiten aufgebaut wird, soll laut Bitdefender zudem Port 443 auf dem Router geschlossen werden. Die Webseiten können dann nur noch unverschlüsselt über Port 80 aufgerufen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. Hauptuntersuchung: Tesla Model S beim TÜV nur knapp vor Verbrennern von Dacia
    Hauptuntersuchung
    Tesla Model S beim TÜV nur knapp vor Verbrennern von Dacia

    Bei den TÜV-Prüfungen schneidet das Model S nicht viel besser ab als sehr günstige Verbrenner. Andere E-Autos sind da besser.

  3. Raumfahrt: China schleppt defekten Satelliten ab
    Raumfahrt
    China schleppt defekten Satelliten ab

    Ein nicht funktionsfähiger Satellit wurde mit Hilfe eines weiteren Satelliten dorthin verbracht, wo er keine Gefahr darstellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /