Nieuwe malware wijzigt DNS-instellingen van routers

Nieuwe malware richt zijn pijlen op het Domain Name System (DNS) in routers. Veel routers zijn beveiligd met zwakke of standaardwachtwoorden, waardoor de malware de apparaten zonder problemen kan binnendringen en nietsvermoedende gebruikers via het DNS kan doorsturen naar malafide websites.

Het DNS kan worden vergeleken met een telefoonboek voor het internet. Het systeem vertelt webbrowsers welke domeinnaam verwijst naar welk IP-adres en zorgt dat de juiste website wordt geladen aan de hand van de URL die gebruikers in de adresbalk van hun webbrowser opgeven. Wie wijzigingen aan weet te brengen in dit systeem kan gebruikers ongemerkt doorsluizen naar een andere website, bijvoorbeeld een nagemaakte website waar gebruikers worden verleid in te loggen op een account. De inloggegevens vallen hierdoor in handen van de aanvallers.

DNS changer malware

De nieuwe malware die wijzigingen kan aanbrengen in het DNS is ontdekt door Trend Micro, dat de malware de ‘DNS changer malware’ wordt genoemd. De malware probeert de inloggegevens van routers te kraken via een brute force-aanval. Verschillende modellen routers van meerdere fabrikanten waaronder TP-LINK en D-Link zouden kwetsbaar zijn voor de aanvallen.

Trend Micro adviseert gebruikers altijd een veilig en complex wachtwoord in te stellen op hun router, waarmee een brute force-aanval kan worden voorkomen. Daarnaast zouden gebruikers er verstandig aan doen het standaard IP-adres waarop de router te bereiken is te wijzigen en features voor beheer op afstand uit te schakelen. Ook adviseert Trend Micro gebruikers Firefox NoScript te installeren. Deze extensie voor Mozilla Firefox voorkomt dat script in de webbrowser kunnen worden uitgevoerd.