Menu

Троян Rbrute - гроза Wi-Fi роутерів

Фахівці компанії «Доктор Веб» досліджували шкідливу програму Trojan.Rbrute, призначену для злому паролів Wi-Fi роутерів методом перебору (brute force), а також підміни адреси DNS-серверів, зазначених у налаштуваннях цих пристроїв. Зловмисники використовують цю шкідливу програму для іншого поширення трояна, відомого під ім'ям Win32.Sector.

Запустившись на інфікованому комп'ютері під керуванням Windows, Trojan.Rbrute встановлює з'єднання з віддаленим сервером і очікує від нього відповідних команд. В якості однієї з них троянець отримує діапазон IP-адрес для виконання сканування. Шкідлива програма володіє функціоналом по підбору паролів до наступних моделей Wi-Fi роутерів D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND, TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII і деяким іншим. Фактично, троянець здатний виконувати дві команди:

  • сканування мережі по заданому діапазону IP-адрес;
  • перебір паролів за словником.

    • При цьому перераховані команди не взаємопов'язані і можуть виконуватися троянцем окремо. Якщо по одному з опитаних IP-адрес виявляється працює роутер, Trojan.Rbrute отримує звідти веб-сторінку, визначає модель пристрою з використанням тега realm=\»і рапортує про цю подію на керуючий сервер.

    Також троянець може отримати команду на підбір пароля до виявленого роутера за словником - таке завдання містить всі необхідні вихідні дані: IP-адреса мети, DNS для підміни і словник паролів. В якості логіна Trojan.Rbrute використовує значення admin або support.

     

    Троян Rbrute – гроза Wi-Fi-роутеров

    Якщо аутентифікація з підібраним поєднанням логіна і пароля пройшла успішно, троянець рапортує на віддалений сервер про успішне факт злому і посилає роутеру запит на зміну адрес зареєстрованих в його налаштуваннях DNS-серверів. В результаті при спробі відкрити у вікні браузера різних веб-сайтів користувач може бути перенаправлено на інші ресурси, спеціально створені зловмисниками. Ця схема в даний час використовується кіберзлочинцями для розширення чисельності бот-мережі, створеної з використанням шкідливої програми Win32.Sector.

    В цілому використовується зловмисниками схема виглядає наступним чином.

  • На комп'ютер, вже інфікований троянцем Win32.Sector, з використанням цієї шкідливої програми завантажується Trojan.Rbrute.
  • Trojan.Rbrute отримує з керуючого сервера завдання на пошук Wi-Fi-маршрутизаторів і дані для підбору паролів до них.
  • У разі успіху Trojan.Rbrute підмінює в налаштуваннях роутера адреси DNS-серверів.
  • При спробі підключення до Інтернету користувач незараженого комп'ютера, що використовує підключення через скомпрометований маршрутизатор, перенаправляється на спеціально створену зловмисниками веб-сторінку.

    • Троян Rbrute – гроза Wi-Fi-роутеров

  • З цієї сторінки на комп'ютер жертви завантажується троянець Win32.Sector і інфікує його.
  • Згодом Win32.Sector може завантажити на знову інфікований ПК копію троянця Trojan.Rbrute. Цикл повторюється.

    • Сигнатура Trojan.Rbrute додано до вірусні бази Dr.Web. Фахівці компанії «Доктор Веб» рекомендують власникам Wi-Fi роутерів не використовувати на своїх пристроях настройки за замовчуванням і встановлювати в адміністративному інтерфейсі роутерів складні паролі, які ускладнять їх злом методом простого перебору.

    Додатково
    |