Hackers redirecionam as vítimas para um site infectado após alterar as configurações de DNS e descartam o ransomware Oski que criptografa arquivos importantes do sistema da vítima
Hackers estão alterando as configurações de sistemas de nomes de domínio (DNS) e redirecionando os usuários para uma página maliciosa que contém o ransomware Oski para roubar informações. A disseminação do malware é feita através de aplicativos baixados pelos usuários que supostamente trazem informações e instruções sobre o covid-19.
Os usuários são levados a baixar aplicativos como COVID19Tracker e Covid Lock a partir de um site. Esses aplicativos sequestram os dados de smartphones de suas vítimas e solicitam resgate de US$ 100 em bitcoin para a liberação dos dados. Os hackers ameaçam vazar todos os contatos, mídias e contas de mídia social das vítimas, caso não paguem o resgate no devido tempo.
Outro tipo de ataque tem sido por meio de roteadores domésticos desprotegidos. Nesse caso, os hackers redirecionam as vítimas para um site infectado após alterar as configurações de DNS e descartam o ransomware Oski que criptografa arquivos importantes do sistema da vítima. O malware emprega um algoritmo sofisticado para criptografar os arquivos e anexar a extensão .Oski a cada arquivo. Depois de executar com êxito o processo de criptografia, ele deixa uma nota de resgate em todas as pastas criptografadas: “COMO RECUPERAR FILES.TXT criptografados”.
Para fazer com que o arquivo pareça legítimo, os hackers o denominaram de “runset.EXE”, “covid19informer.exe” ou “setup_who.exe”, segundo relatório da Bitdefender sobre o assunto.
Os invasores percorrem a internet em busca dos roteadores domésticos desprotegidos, sujeitos a ataques de quebra de senha, com as configurações de IP do DNS alteradas. O DNS desempenha papel crucial na conversão de nomes de domínio em endereços IP e, como ajuda os navegadores a carregar recursos da internet, se os cibercriminosos alterarem o endereço IP do DNS de um roteador vulnerável, eles terão qualquer site sob seu controle.
Os domínios segmentados nesta campanha incluem aws.amazon.com, tidd.ly, goo.gl, bit.ly, fiddler2.com, washington.edu, winimage.com, imageshack.us, ufl.edu, disney.com, cox .net, xhamster.com, pubads.g.doubleclick.net e redditblog.com.
“É recomendável que, além de alterar as credenciais de acesso do painel de controle do roteador [que não sejam padrão], os usuários alterem suas credenciais de conta na nuvem Linksys ou qualquer conta de gerenciamento remoto para seus roteadores, para evitar ataques de a credenciais”, alerta a Bitdefender.