Эксперты компании Trend Micro обнаружили JavaScript-малварь JS_JITON, которая атакует домашние роутеры весьма экзотичным способом.
В первую очередь вредонос нацелен на мобильные устройства, поражая которые, он добирается до настроек роутеров, а затем подменяет настройки DNS.
Впервые JS_JITON был замечен еще в декабре 2015 года, но вредоносная кампания достигла своего пика в феврале 2016 года: тогда наблюдалось порядка 1500 заражений в сутки. По сообщению специалистов Trend Micro, принцип работы JS_JITON весьма прост. Злоумышленники заражают веб-страницы вредоносным кодом, а затем ждут, когда их посетит жертва, использующая мобильное устройство. Как только пользователь переходит на вредоносную страницу, малварь выполняется в браузере.
Проникнув на устройство, вредонос тут же начинает пытаться установить соединение с роутером жертвы. Для этого он перебирает различные комбинации логинов и паролей, которые может иметь учетная запись администратора. В коде JS_JITON содержатся более 1400 распространенных комбинаций. Если брутфорс удался, зловред подменяет настройки DNS собственными.
Аналитики Trend Micro полагают, что разработка JS_JITON еще не завершена, и авторы малвари продолжают экспериментировать с различными векторами атак и заражений. Так, вредоносный скрипт постоянно обновляется, и в коде вредоноса был обнаружен кусок, ответственный за исполнение вредоносного кода на обычных компьютерах, а также кейлоггер.
JS_JITON может атаковать роутеры D-Link и TP-Link, а также оснащается эксплоитом для уязвимости CVE-2014-2321, которая была обнаружена в устройствах ZTE.
Малварь распространяется через скомпрометированные сайты в России и странах Азии. География атак JS_JITON при этом весьма обширна: больше всего пострадали пользователи Тайваня (27,41%), Японии (19,75%), Китая (12,56%), Великобритании (8,18%) и Франции (4,52%). Также среди пострадавших стран числятся Канада, Австралия, Корея, Голландия и другие.
