Mărește (credit: Marco Verch fotograf profesionist și vorbitor)
Hackerii au livrat malware utilizatorilor Windows și Mac prin compromiterea furnizorului lor de servicii de internet și apoi modificând actualizările software furnizate prin conexiuni nesigure, au spus cercetătorii.
Atacul, au spus cercetătorii de la firma de securitate Volexity, a funcționat prin piratarea ruterelor sau a unor tipuri similare de infrastructură de dispozitive ale unui ISP fără nume. Atacatorii și-au folosit apoi controlul asupra dispozitivelor pentru a otrăvi răspunsurile sistemului de nume de domeniu pentru nume de gazdă legitime, oferind actualizări pentru cel puțin șase aplicații diferite scrise pentru Windows sau macOS. Aplicațiile afectate au fost 5KPlayer, Quick Heal, Rainmeter, Partition Wizard și cele de la Corel și Sogou.
Acestea nu sunt serverele de actualizare pe care le căutați
Pentru că mecanismele de actualizare nu au folosit TLS sau semnături criptografice pentru a autentifica conexiunile sau software-ul descărcat, actorii amenințărilor au putut să-și folosească controlul asupra infrastructurii ISP pentru a efectua cu succes mașină-la-mijloc (MitM) atacuri care au direcționat utilizatorii vizați către servere ostile, mai degrabă decât pe cele operate de producătorii de software afectați. Aceste redirecționări au funcționat chiar și atunci când utilizatorii au folosit servicii DNS publice necriptate, cum ar fi Google 8.8.8.8 sau Cloudflare 1.1.1.1, mai degrabă decât serverul DNS autorizat furnizat de ISP.
Comentarii recente