Вредоносная программа JS_JITON, атакующая домашние маршрутизаторы необычным способом, была выявлена экспертами Trend Micro. Сначала программа заражает мобильные устройства, через которые может изменять настройки DNS в маршрутизаторах.
Программа JS_JITON была впервые выявлена еще в декабре прошлого года, но апогей вредоносной кампании пришелся на февраль текущего года. Тогда эксперты в сутки фиксировали около 1500 фактов заражения.
Как утверждают специалисты Trend Micro, у JS_JITON очень простой принцип работы. Сначала с помощью вредоносного кода осуществляется заражение веб-страниц, после чего злоумышленники ждут, пока их не посетит владелец мобильного устройства. При переходе на зараженную страницу происходит запуск вредоносной программы в браузере.
При проникновении на устройство вредоносная программа начинает устанавливать соединение с маршрутизатором жертвы. Для этой цели она осуществляет перебор различных комбинаций логинов и паролей аккаунта администратора. В коде JS_JITON присутствует свыше 1400 комбинаций. В случае успеха вредоносная программа заменяет настройки DNS на собственные.
Эксперты Trend Micro считают, что работа над JS_JITON еще не окончена, поскольку создатели программы продолжают проводить эксперименты с разными векторами атак и заражений. Постоянно обновляется вредоносный скрипт. Эксперты обнаружили в коде программы кейлоггер и фрагмент, предназначенный для исполнения вредоносного скрипта на обычных компьютерах.
JS_JITON может атаковать маршрутизаторы D-Link и TP-Link, а также имеет эксплоит для уязвимости, найденной в устройствах ZTE.
Распространение вредоносной программы осуществляется через взломанные сайты в России и странах Азии. При этом больше всего пострадали от действий злоумышленников тайваньские, японские, китайские, британские и французские пользователи.