Новая киберкампания по распространению набора эксплоитов DNSChanger была обнаружена исследователями из Proofpoint. Этот набор эксплоитов заражает вредоносными программами не браузеры, а маршрутизаторы для того, чтобы внедрять рекламу в каждый сайт, который посещают пользователи.
Хакеры сначала покупают право на размещение рекламы на легитимных сайтах. Затем в рекламные объявления внедряется вредоносный JavaScript-код, который подключается к серверу Mozilla STUN посредством запросов WebRTC для того, чтобы определить локальный IP-адрес жертвы. Используя полученные данные, код может определять, находится ли пользователь в локальной сети под управлением домашнего маршрутизатора. Если жертва находится в такой сети, то кибератака продолжается, в противном случае пользователю демонстрируется обычное рекламное объявление.
Жертва видит рекламный баннер, который может переадресовать ее на набор эксплоитов DNSChanger. Затем хакеры передают браузеру изображение, содержащее ключ шифрования, спрятанный посредством стеганографии. Этот ключ позже будет задействован для расшифровки трафика, который генерируется DNSChanger.
По словам экспертов, киберкампания направлена на 166 моделей роутеров.
