นักวิจัยของ Kaspersky ได้รายงานฟังก์ชัน DNS switcher ใหม่ที่ใช้ในการดำเนินการ Roaming Mantis Roaming Mantis (หรือที่รู้จักในชื่อ Shaoye) เป็นชื่อแคมเปญหรือปฏิบัติการอาชญากรรมทางไซเบอร์ที่ Kaspersky ตรวจพบครั้งแรกในปี 2018 มันใช้ไฟล์แพ็คเกจ Android (APK) ที่เป็นอันตรายเพื่อจัดการอุปกรณ์ Android ที่ติดไวรัสและขโมยข้อมูลที่เป็นความลับจากอุปกรณ์ เป็นที่ทราบกันดีว่ามีตัวเลือกฟิชชิ่งสำหรับอุปกรณ์ iOS และคุณสมบัติการขุด crypto สำหรับพีซี ชื่อของแคมเปญนี้เกิดจากการแพร่ระบาดผ่านสมาร์ทโฟนที่โรมมิ่งเครือข่าย Wi-Fi ซึ่งอาจนำพาและแพร่เชื้อได้
“เราเตอร์สาธารณะและฟังก์ชันตัวเปลี่ยน DNS ใหม่”
Kaspersky เพิ่งค้นพบว่า Roaming Mantis มีฟังก์ชัน DNS changer ใหม่ผ่านแคมเปญมัลแวร์ Wroba.o (aka Agent.eq, Moqhao, XLoader) เราสามารถเรียก DNS changer ว่าเป็นโปรแกรมอันตรายที่เปลี่ยนเส้นทางอุปกรณ์ของคุณที่เชื่อมต่อกับเราเตอร์ Wi-Fi ที่ถูกบุกรุกไปยังเซิร์ฟเวอร์อื่นที่อาชญากรไซเบอร์ควบคุมแทนเซิร์ฟเวอร์ DNS ที่ถูกต้อง ในสถานการณ์นี้ เหยื่ออาจถูกขอให้ดาวน์โหลดมัลแวร์ที่สามารถควบคุมอุปกรณ์หรือขโมยข้อมูลรับรองจากหน้า Landing Page ที่พบ
ปัจจุบัน ผู้โจมตีที่อยู่เบื้องหลัง Roaming Mantis กำหนดเป้าหมายเฉพาะเราเตอร์ที่อยู่ในเกาหลีใต้และผลิตโดยผู้จำหน่ายอุปกรณ์เครือข่ายยอดนิยมของเกาหลีใต้ ในเดือนธันวาคม 2022 Kaspersky สังเกตการดาวน์โหลด APK ที่เป็นอันตราย 508 รายการในประเทศนี้
การศึกษาหน้าที่เป็นอันตรายเปิดเผยว่าผู้โจมตียังกำหนดเป้าหมายไปยังภูมิภาคอื่นโดยใช้ smishing แทนตัวเปลี่ยน DNS เทคนิคนี้ใช้ข้อความเพื่อกระจายลิงก์ที่นำเหยื่อไปยังไซต์ฟิชชิงเพื่อดาวน์โหลดมัลแวร์บนอุปกรณ์หรือขโมยข้อมูลผู้ใช้
ตามสถิติของ Kaspersky Security Network (KSN) ในเดือนกันยายน – ธันวาคม 2022 อัตราการตรวจพบมัลแวร์ Wroba.o (Trojan-Dropper.AndroidOS.Wroba.o) สูงสุดในฝรั่งเศส (54,4%) ญี่ปุ่น (12,1%) และสหรัฐอเมริกา ( 10,1%).
“เมื่อสมาร์ทโฟนที่ติดไวรัสเชื่อมต่อกับเราเตอร์ที่ 'ดีต่อสุขภาพ' ในสถานที่สาธารณะต่างๆ เช่น ร้านกาแฟ บาร์ ห้องสมุด โรงแรม ห้างสรรพสินค้า สนามบิน และแม้แต่บ้าน มัลแวร์ Wroba.o จะถูกพบบนเราเตอร์นี้” Suguru Ishimaru ผู้อาวุโสกล่าว นักวิจัยด้านความปลอดภัยที่ Kaspersky อุปกรณ์และอาจส่งผลกระทบต่ออุปกรณ์ที่เชื่อมต่อด้วย ฟังก์ชันตัวเปลี่ยน DNS ใหม่สามารถจัดการการเลือกอุปกรณ์เกือบทุกชนิดที่ใช้เราเตอร์ Wi-Fi ที่ถูกบุกรุก เช่น การส่งต่อไปยังโฮสต์ที่เป็นอันตรายและการปิดใช้งานการอัปเดตความปลอดภัย "เราเชื่อว่าการค้นพบนี้มีความสำคัญต่อความปลอดภัยทางไซเบอร์ของอุปกรณ์ Android เนื่องจากมีศักยภาพที่จะแพร่กระจายอย่างกว้างขวางในภูมิภาคเป้าหมาย"
เพื่อป้องกันการเชื่อมต่ออินเทอร์เน็ตของคุณจากการติดไวรัสนี้ นักวิจัยของ Kaspersky แนะนำ:
- ตรวจสอบคู่มือเราเตอร์ของคุณเพื่อตรวจสอบว่าการตั้งค่า DNS ของคุณไม่ได้ถูกแก้ไข หรือติดต่อผู้ให้บริการอินเทอร์เน็ตของคุณเพื่อขอรับการสนับสนุน
- เปลี่ยนชื่อผู้ใช้และรหัสผ่านเริ่มต้นที่ใช้สำหรับเว็บอินเตอร์เฟสของเราเตอร์ และอัปเดตเฟิร์มแวร์เป็นประจำจากแหล่งข้อมูลที่เป็นทางการ
- ห้ามติดตั้งซอฟต์แวร์เราเตอร์จากแหล่งบุคคลที่สาม หลีกเลี่ยงการใช้ร้านค้าบุคคลที่สามสำหรับอุปกรณ์ Android ของคุณเช่นกัน
- ตรวจสอบเบราว์เซอร์และที่อยู่เว็บไซต์เสมอเพื่อให้แน่ใจว่าปลอดภัย อย่าลืมยืนยัน https:// การเชื่อมต่อที่ปลอดภัยเมื่อได้รับแจ้งให้ป้อนข้อมูล
เป็นคนแรกที่แสดงความคิดเห็น