Moi koledzy z CERT Orange Polska „rozgryzają” właśnie kolejny malware! Tym razem wróg okazał się być wyjątkowo groźny, bowiem mamy do czynienia z nowiutkim, dopiero co skompilowanym (25 października!) złośliwym oprogramowaniem, wykrywanym przez mniej niż połowę antywirusów (oraz przez CyberTarczę Orange!).
Na przeanalizowaną wersję ataku narażeni są użytkownicy routerów TP-LINK, jednak nie oznacza to absolutnie, iż pozostali są bezpieczni, bowiem cyber-przestępcy mogą próbować różnych wektorów ataku. Ten, któremu przyjrzeli się eksperci CERT Orange Polska wykorzystywał najprawdopodobniej jeden z błędów właśnie w routerach TP-LINK, pozwalający przestępcy na niewidoczne dla ofiary podmienienie adresu serwera DNS (czyli elementu sieci „tłumaczącego” literowe adresy stron na adresy IP). W efekcie użytkownik niezależnie od adresu wpisanego w przeglądarce był przekierowywany na stronę, sugerującą, iż oprogramowanie jego routera jest nieaktualne i jeśli go nie uaktualni... narazi się na atak (screenshot z ataku poniżej)!
Oczywiście pliki z rzekomą aktualizacją to opisywany malware. Jego wstępna analiza wykazuje, iż wykrada z komputerów ofiar dane z internetowych formularzy – w tym loginy, hasła i być może również numery kart płatniczych. Plik zawierający malware nosi nazwę firmware_tplink_4.0.8b_x86_x64_r10932.exe (ale w innych akcjach nazwa może być inna).
Dokładna analiza uzyskanych informacji przez CERT Orange Polska wciąż trwa. Adresy witryn, z którymi łączyło się złośliwe oprogramowanie, zostały oczywiście zablokowane w sieci Orange Polska, a ci z naszych klientów, którzy w dobrej wierze zainstalowali malware, mogą niebawem spodziewać się informacji z CyberTarczy.
Jeśli macie pewność lub wrażenie, że mogliście zainstalować opisywany malware, koniecznie:
* zaktualizujcie program antywirusowy
* przeskanujcie komputer
* sprawdźcie, czy w ustawieniach routera macie wpisane serwery DNS Orange Polska: 194.204.159.1 oraz 194.204.152.34
Michał Rosiak 
Stella Widomska 