Исследователи из компании Volexity обнаружили, что хакеры использовали взлом одного интернет-провайдера для распространения вредоносного ПО среди пользователей Windows и Mac.
Атака заключалась во взломе маршрутизаторов или аналогичных устройств инфраструктуры провайдера. Далее злоумышленники использовали контроль над устройствами для манипуляции ответами системы доменных имен легитимных хостов, распространяя обновления по крайней мере для шести различных приложений Windows и macOS, включая 5KPlayer, Quick Heal, Rainmeter, Partition Wizard, а также Corel и Sogou.
Поскольку механизмы обновления не использовали TLS или криптографические подписи, злоумышленники смогли перенаправить пользователей на свои серверы, даже если те использовали публичные DNS-сервисы, такие как Google или Cloudflare.
Схема, иллюстрирующая ход атаки злоумышленников из StormBambooХакеры, известные как StormBamboo, использовали DNS-подмену для доставки вредоносных файлов, которые затем загружали дополнительные вредоносные компоненты. Например, приложение 5KPlayer загружало поддельный файл Youtube.config, который содержал вредоносное ПО MACMA для macOS или POCOSTICK для Windows. Эти программы предоставляли хакерам полный доступ к устройствам, включая запись экрана, аудио и клавиатуры.
Volexity также обнаружила, что хакеры использовали DNS-подмену для захвата домена Microsoft, используемого для проверки интернет-соединения. Это позволило им перехватывать HTTP-запросы и направлять их на свои серверы. Исследователи предупреждают, что такие атаки могут продолжаться и рекомендуют использовать DNS over HTTPS или TLS для защиты.
О каком интернет-провайдере идёт речь – специалисты не сообщили, сказав лишь, что «это не огромный интернет-провайдер, или тот, о котором вы, вероятно, знаете».
Источник: ArsTechnica