Neu entdeckte Malware greift über 50 Router an

27. Mai 2015, 09:49
14 Postings

Nutzt verschiedenste Sicherheitslücken aus und verändert DNS-Einträge

Wer einen Router nutzt, dessen Firmware veraltet ist, setzt sich beim Internetsurfen einem erhöhten Risiko aus. Mit Aktualisierungen für die Software der Geräte pflegen Hersteller nicht nur neue Funktionen ein, sondern kitten auch (wenn auch oft mit reichlich Verspätung) entdeckte Schwachstellen, die sonst ein Einfallstor für Cyberkriminelle darstellen können.

DNS-Manipulation

Das Gefahrenpotenzial demonstriert nun ein Exploit-Kit, das ein Virenexperte unter dem Pseudonym Kafeine entdeckt hat. Ausgeführt wird es im Browser, wenn der Nutzer eine manipulierte Website ansurft. Ziel ist es, den Datenverkehr durch die Veränderung von DNS-Einträgen umzuleiten. Auf diesem Wege kann der Nutzer etwa auf Fake-Seiten ungeleitet, seine Verbindung für DDoS-Attacken missbraucht oder auf andere Art und Weise ins Visier genommen werden.

Malware startet Gerätespezifische Angriffe

Beim Aufrufen der manipulierten Seite - die täglich bereits fast eine Million Aufrufe verzeichnen konnte - wird, so fasst Heise zusammen, verschlüsselter Code in Javascript ausgeführt. Die Malware scant zuerst interne IP-Adressen und versucht, jene des Routers auszumachen und sein Modell zu erkennen. Danach erfolgt der Versuch, diesen zu kompromittieren. Das geschieht entweder durch das Ausnutzen bekannter Sicherheitslücken oder durch einen Dictionary-Angriff mit üblichen Standard-Logins wie etwa dem Nutzernamen "admin" und dem Passwort "root".

Über 50 Modelle betroffen

Betroffen sind über 50 Geräte verschiedener Hersteller und Marken. Darunter befinden sich beispielsweise Netgear, Asus, Linksys, Belkin und Zyxel. Auch D-Link-Router sind verwundbar, wobei die Malware auch eine erst vor wenigen Monaten aufgetauchte Lücke ausnutzt, die mittlerweile mit einem Update behoben wurde.

Zur Absicherung wird empfohlen, stets die aktuellste Firmware zu nutzen und zumindest das Standardpasswort für den Zugang zur Router-Administration mit einem eigenen Kennwort zu ersetzen. Gleichzeitig stehen die Hersteller in der Pflicht, bei der Updateversorgung in Zukunft schneller zu arbeiten. (gpi, 27.05.2015)I

  • D-Link DSL G604T, eines der betroffenen Routermodelle.
    foto: d-link

    D-Link DSL G604T, eines der betroffenen Routermodelle.

Share if you care.