家庭路由器在持续恶意闪电战中被攻击

当你读到这些文字时，合法网站上的恶意广告正在用恶意软件攻击访问者。但是研究人员表示，这种恶意软件不会感染他们的计算机。相反，它会导致不安全的路由器连接到欺诈域。

广告使用一种称为隐写术的技术，将恶意代码隐藏在图像数据中。然后，隐藏的代码将目标重定向到托管dns反相器的网页，这是一种攻击工具，会感染运行未修补固件或受弱管理密码保护的路由器。一旦路由器受到攻击，dns转换器会将其配置为使用攻击者控制的域名系统服务器。这导致网络上的大多数计算机访问欺诈性服务器，而不是对应于其官方域的服务器。

这些发现意义重大，因为它们清楚地表明，无处不在且经常被忽视的设备正在受到主动攻击。这些设备一旦受到攻击，就会影响网络上每一台设备的安全，使其面临进一步的攻击、弹出窗口、恶意广告等。因此，此类攻击的潜在足迹非常高，潜在影响显著。

首先，广告检查访问者的IP地址是否在目标范围内，这是许多恶意广告活动的典型行为，目的是尽可能长时间不被发现。如果该地址不是攻击者想要攻击的目标，他们将提供没有攻击代码的诱饵广告。如果攻击者想要感染IP地址，他们会提供一个假广告，将攻击代码隐藏在PNG图像的元数据中。然后，代码使访问者连接到托管dns转换器的页面，该页面再次检查访问者的IP地址，以确保它在目标范围内。一旦检查通过，这个恶意网站就会提供第二张被路由器攻击代码隐藏的图片。

“这种攻击是由侦察过程中检测到的特定路由器型号决定的，”一位名为Kafeine的研究人员在一篇博文中写道，他是一名Proofpoint。如果没有已知漏洞，攻击将尝试使用默认凭据如果没有已知的攻击和默认密码，攻击将被中止。

Dns transformer使用一组称为webRTC的实时通信协议来发送VoIP通信中使用的所谓STUN服务器请求。该漏洞最终会通过Chrome浏览器向网络路由器发送Windows和Android代码。然后，攻击将受访路由器与166台已知易受攻击路由器的固件映像指纹进行比较。Proofpoint表示，不可能列出所有易受攻击的路由器，但有些列表包含：

恶意广告通过合法的广告网络一次发送几天，然后在合法的网站上展示。目前还没有足够的数据知道有多少人接触过这些广告，这场运动进行了多久，但他表示，在此之前，这场运动背后的攻击者要为每天攻击100多万人的恶意软件负责。在撰写本文时，竞选活动仍然非常活跃。Proofpoint尚未确认任何发送或显示恶意广告的广告网络或网站。

DNS服务器将arstechnica.com等域名转换为50.31.151.33等IP地址，这需要计算机来查找和访问网站。通过将路由器设置更改为使用攻击者控制的服务器，dns转换器可以将大多数(如果不是全部的话)已连接的计算机连接到看起来像真实站点的冒名顶替站点。到目前为止，dns变频器使用的恶意DNS服务器似乎都是假冒的IP地址，用来分流大型广告代理的流量，支持名为Fogzy和流量经纪人的广告网络。然而，服务器可以随时更新，以伪造对Gmail.com、bankofamerica.com或任何其他网站的搜索。幸运的是，在这种情况下，HTTPS保护将标记冒名顶替者。