Um Trojan de troca de DNS recém-descoberto apelidado de Extenbro foi observado enquanto bloqueava o acesso a sites de fornecedores de software de segurança para impedir que suas vítimas se livrassem do adware que ele despeja em seus computadores.
“Esses alteradores de DNS bloqueiam o acesso a sites relacionados à segurança, portanto as vítimas de adware não podem baixar e instalar o software de segurança para se livrar das pragas”, conforme detalhado pelos pesquisadores de segurança da Malwarebytes Labs que descobriram esse novo malware.
Como um efeito colateral, a Extenbro também irá expor as máquinas que ela compromete a todo tipo de ameaças, uma vez que as deixa indefesas ao negar-lhes acesso a uma solução anti-malware.
“O que eles se importam se eles abrem sua máquina para todos os tipos de ameaças, impedindo o acesso a sites de segurança e impedindo que qualquer software de segurança existente receba atualizações? Eles só querem servir você adware”, acrescentam os pesquisadores.
Este tipo de comportamento foi visto no passado, no caso da família de adware Vonteera, que adotou o uso do certificado do sistema para desabilitar o software anti-malware nos computadores infectados.
Bundler usado para infectar os alvos
O Extenbro Trojan infecta seus alvos depois de baixar um bundle de adware, um pacote de software geralmente servido junto com componentes de adware ou spyware que são baixados no computador da vítima com a ajuda de um módulo de downloader.
O Malwarebytes detecta o bundler usado para distribuir esse malware do alterador de DNS como o Trojan.IStartSurf , um moniker que a empresa usa para marcar uma família de redirecionadores e empacotadores de adware.
“Anúncios indesejados que não são originários dos sites que visitam ou de o navegador abrir com uma página inicial que eles não definiram” estão entre os sintomas que as vítimas começarão a perceber após serem infectadas.
Depois de pousar com sucesso nos computadores de suas vítimas, a Extenbro mudará as configurações de DNS para que nenhum site de fornecedores de segurança seja acessível, evitando assim que eles baixem e instalando softwares de segurança capazes de detectá-los e bloqueá-los
“Novo para este é que você tem que acessar a aba DNS Avançado para descobrir que ele adicionou quatro servidores DNS em vez dos dois usuais”, acrescenta a equipe de pesquisa do Malwarebytes Labs.
“Onde as pessoas podem estar inclinadas a alterar as duas que estão visíveis, use o botão Avançado e olhe para a guia DNS: Isso faria com que deixassem as duas adicionais para trás.”
Mesmo depois de localizar e remover com êxito todos os servidores DNS desonestos adicionados às configurações da rede, o malware os adicionará novamente após a reinicialização do sistema, pois também adiciona uma tarefa agendada nomeada aleatoriamente para essa finalidade específica durante o estágio de infecção.
O Trojan Extenbro DNS-changer também desativa o IPv6 em todas as máquinas comprometidas para garantir que as vítimas não contornem os servidores DNS controlados pelo invasor e consigam proteger seu computador.
Ele também adicionará um certificado raiz aos certificados raiz do Windows e “fará uma alteração no arquivo user.js do Firefox e definirá a configuração security.enterprise_roots.enabled como true, o que configura o Firefox para usar o Armazenamento de certificados do Windows onde o recém-adicionado certificado raiz foi adicionado.
Na semana passada, o Centro Nacional de Segurança Cibernética (NCSC, na sigla em inglês) do Reino Unido divulgou um comunicado sobre os ataques de seqüestro de Domain Name Systems (DNS) em andamento usados por agentes de ameaças para alterar as configurações de DNS de seus alvos para fins maliciosos.
Isso precede vários tipos de ataques mal-intencionados, desde phishing e sniffing de tráfego para usuários comuns até uma série de ataques sérios contra organizações que podem, eventualmente, levar à perda de controle sobre seus domínios e servidores.
Uma lista completa dos indicadores de comprometimento (IOCs), incluindo os IPs dos servidores DNS usados pelos malwares DNS-changer, o certificado raiz usado pelo Trojan e o hash de amostra de malware SHA256, está disponível no final do relatório Malwarebytes Labs Extenbro .
