DNS: Gehackte Router zeigen Coronavirus-Warnung mit Schadsoftware

Gehackte Router leiten bekannte Domains auf eine gefälschte Warnung der WHO um und versuchen, ihren Opfern eine Schadsoftware unterzujubeln.

Artikel veröffentlicht am ,
Schadsoftware statt Vireninfos der WHO
Schadsoftware statt Vireninfos der WHO (Bild: Mohamed Hassan/Pixabay)

Plötzlich zeigen verschiedene, bekannte Webseiten wie disney.com, aws.amazon.com oder xhamster.com einen Warnhinweis der Weltgesundheitsorganisation (WHO) zum Coronavirus an und lassen nur noch den Download einer Info-App zu. Die Webseite und der Hinweis sind jedoch eine Fälschung, mit der Angreifer ihre Opfer zur Installation einer Schadsoftware verleiten wollen.

Stellenmarkt
  1. VBA-Entwickler und IDV-Koordinator (m/w/d)
    L-Bank, Karlsruhe
  2. IT-Security Officer - Schwerpunkt IT-Compliance (m/w/d)
    MTU Aero Engines AG, München
Detailsuche

Um den Hinweis einblenden zu können, übernehmen die Angreifer den Router, ändern die DNS-Einstellungen und leiten die Domains auf ihren gefälschten Warnhinweis zum Coronavirus um. Laut der Sicherheitsfirma Bitdefender sollen die Angreifer bisher vor allem Router in den USA und Deutschland angegriffen haben.

Mit ihrer Kampagne docken die Angreifer an die Ängste rund um das aktuelle Thema Coronavirus an und versprechen auf einem WHO-Banner "die neuesten Informationen und Anweisungen zum Coronavirus (Covid-19)."

Doch statt der Info-App verbirgt sich hinter dem Downloadbutton die Schadsoftware Oski, die es unter anderem auf die im Browser gespeicherten Zugangsdaten, Cookies, den Browserverlauf und dort abgelegte Zahlungsinformationen sowie in Wallets abgelegte Digitalwährungen abgesehen hat. Die Schadsoftware wird über Bitbuckets von AWS ausgeliefert. Laut Bitdefender sind die Angreifer seit 18. März 2020 aktiv. Allein eines der mindestens vier Bitbuckets konnte in den vergangenen Tagen über 1.000 Downloads verzeichnen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Um den Warnhinweis anzuzeigen, übernehmen die Angreifer verschiedene Routermodelle von D-Link oder Linksys. Wie dies geschieht, ist derzeit unbekannt. Bitdefender vermutet einen Brute-Force-Angriff, also das Durchprobieren von Passwortkombinationen. Es könnte jedoch auch sein, dass die Angreifer eine Sicherheitslücke ausnutzen.

  • Gefälschter Warnhinweis führt zu Schadsoftware. (Quelle: Bitdefender)
Gefälschter Warnhinweis führt zu Schadsoftware. (Quelle: Bitdefender)

Anschließend ändern die Angreifer die DNS-Server auf 109.234.35.230 und 94.103.82.249 ab. Diese leiten etliche bekannte Domains auf die Webseite mit dem Warnhinweis um. Unter den Betroffenen Domains sind neben disney.com, aws.amazon.com und xhamster.com auch goo.gl, bit.ly, washington.edu, imageshack.us, ufl.edu, pubads.g.doubleclick.net und redditblog.com. Damit keine verschlüsselte Verbindung zu den Webseiten aufgebaut wird, soll laut Bitdefender zudem Port 443 auf dem Router geschlossen werden. Die Webseiten können dann nur noch unverschlüsselt über Port 80 aufgerufen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekannt geworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Mikromobilität: Im Rhein liegen Hunderte E-Scooter
    Mikromobilität
    Im Rhein liegen Hunderte E-Scooter

    Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

johnripper 26. Mär 2020

Im Artikel wird DLink und Linksys genannt. Also nix "Providerschrott". Chinaschrott...

ElMario 26. Mär 2020

...sorgen immer für Unterhaltung.

WhiteWisp 26. Mär 2020

Sehr gute Auflistung :D


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /