ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

DNS-Attacke: Manipulierte Router warnen vermeintlich vor Coronavirus

Sven Bauduin
34 Kommentare
DNS-Attacke: Manipulierte Router warnen vermeintlich vor Coronavirus
Bild: Pexels

Auf eine besonders perfide Art und Weise machen sich Angreifer die aktuelle Situation und die Angst der Menschen vor dem Coronavirus (SARS-CoV-2) zu Nutzen und leiten Router zur Zeit durch manipulierte DNS-Einstellungen auf vermeintliche Warnhinweise der Weltgesundheitsorganisation (WHO) zu COVID-19 um, berichtet BitDefender.

Bekannte und frequentierte Domains wie „aws.amazon.com“ oder auch „disney.com“ werden anschließend über die DNS-IP „109.234.35.230“ oder auch „94.103.82.249“ umgeleitet und erhalten den folgenden Warnhinweis, der neue und relevante Informationen und Anweisungen der Weltgesundheitsorganisation zum Thema Coronavirus über eine App zur Verfügung stellen soll:

Die Anwendung Runset (EXE) enthält aber ausschließlich gefährlichen Schadcode.

Gefälschter WHO-Warnhinweis zu COVID-19 verbreitet Schadsoftware
Gefälschter WHO-Warnhinweis zu COVID-19 verbreitet Schadsoftware (Bild: BitDefender)

Oski stiehlt Zugangs- und Zahlungsdaten

Bei der Schadsoftware handelt es sich um eine Anwendung namens Oski, die laut SecurityWeek bereits seit Januar Zugangs- und Zahlungsdaten sowie Crypto-Wallet über den Browser des Opfers ausliest und kopiert. Demnach soll Oski bereits über 50.000 Logins und Passwörter erbeutet haben. Laut BitDefender soll allein eines der vier Bitbuckets von AWS, über die Oski ausgeliefert wird, in den letzten Tagen mehr als 1.000 Downloads der besagten Schadsoftware verzeichnet haben.

Laut der Sicherheitsfirma sollen bislang vor allem Router in den USA und Deutschland angegriffen worden sein. Wie die Supportwebsite Bleeping Computer berichtet, sind vor allem Router von D-Link und Linksys von der DNS-Manipulation betroffen und werden über den Aufruf folgender Domains umgeleitet:

  • pubads.g.doubleclick.net
  • aws.amazon.com
  • washington.edu
  • redditblog.com
  • imageshack.us
  • winimage.com
  • xhamster.com
  • fiddler2.com
  • disney.com
  • cox.net
  • ufl.edu
  • tidd.ly
  • goo.gl
  • bit.ly
Laut BitDefender vom DNS-Angriff betroffene Domains

Die Umleitung erfolgt dabei in der Regel auf die IP-Adressen 176.113.81.159, 193.178.169.148 oder 95.216.164.181. Anschließend wird der vermeintliche WHO-Warnhinweis mit der Aufforderung zum Download angezeigt.

Die Ursache ist noch unbekannt

Wie die Router manipuliert werden, ist zur Zeit noch unbekannt. BitDefender vermutet aber, dass dahinter eine Attacke mittels Brute-Force-Methode steckt, bei der unsichere Passwörter von Routern vergleichsweise einfach erbeutet werden können. Aber auch eine Sicherheitslücke in der Software der Router können die Sicherheitsexperten zur Zeit nicht ausschließen.

CB-Funk Podcast #67: Intels K-CPUs altern wirklich und Leser benchen Manor Lords mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz