Kasperky Lab, noto gruppo appartenente al ramo delle società di indagine per il settore IT Security, rivela in queste ore la presenza di un nuovo malware che compromette seriamente i router WiFi cui i dispositivi sono collegati. Si chiama Switcher ed è un nuovo sistema di Hi-Jacking che prende il controllo del nostro sistema di accesso alla rete dirottando il traffico web verso siti di dubbia provenienza, apportando modifiche interne al sistema di traduzione automatica degli indirizzi IP (servizio DNS).
Gli hacker Black Hat hanno messo a punto un nuovo sistema di infezione che investe i router, consentendo il perpetrarsi di attacchi mirati verso gli utenti attraverso un’app Android relativa al motore di ricerca cinese Baidu, vista sia come app per la condivisione delle info su reti WiFI pubbliche e private, sia come trojan applicativo.
Una volta portato a compimento il processo di installazione del prodotto, di fatto, si innesca un attacco di tipo brute-force che tenta, attraverso la prova continua di passphrase prelevate da un dizionario noto, l’accesso al webserver del router con funzione di amministratore. Una lista di nomi utenti e password predefinite, pertanto, vengono utilizzate allo scopo, con annesso codice JavaScript secondo il modello in immagine:
Una volta avuto accesso alla UI del router, il malware andrà a sostituire i server DNS primario e secondario con indirizzi IP che riportano l’utente al sistema di traduzione degli IP degli hacker, ovvero a siti malevoli appositamente studiati per estorcere dati ed informazioni sensibili.
la società d’indagine rivela che gli indirizzi DNS utilizzati da Android Switcher sono:
- 101.200.147.153
- 112.33.13.11
- 120.76.249.59
Allo stato attuale il malware router è circoscritto alle zone della Cina, sebbene non vi sia alcuna garanzia sulla non estensibilità del fenomeno a livello internazionale. Le infezioni portate a termine dal nuovo sistema riguardano circa 1.300 router (soprattutto TP-Link). I ricercatori, in questo come in altri casi, invitano gli utenti ad attenersi al principio del’installazione sicura, ovvero relativa ai soli prodotti certificati sottoposto al vigile controllo dei membri sviluppatori di Google PlayStore, provvedendo quindi alla disabilitazione della voce Origini Sconosciute.
Ad ogni modo, noi della redazione, consigliamo sempre l’utilizzo di passhprase molto complesse e di un sistema esclusivo degli accessi basato sulla manifestazione del MAC Address. Sarebbe, inoltre, buona prassi provvedere al mascheramento dell’SSID della rete ed all’utilizzo del firewall integrato sul webserver. Infine, ma non per ultima, l’impostazione di una password di accesso al router robusta.
L’utilizzo delle classiche soluzioni admin/admin o admin/password, di fatto, non è affatto sufficiente a garantire il giusto livello di protezione per i vostri sistemi WiFi. Non considerate mai la sicurezza come un fattore secondario. Difendetevi. A voi la parola.
LEGGI ANCHE: Android malware: Milioni di account Google a rischio, arriva Gooligan
