W ostatnich dniach zrobiło się głośno o kolejnym zmyślnym ataku na routery firmy TP-Link. Potencjalni włamywacze wykorzystują niewiedzę i brak doświadczenia wśród użytkowników urządzeń TP-Linka. Informują ich że router posiada stare oprogramowanie i należy je wymienić a tym samym kierują na fałszywą stronę z oprogramowaniem gdzie nieświadomy użytkownik pobiera i instaluje szpiegujące oprogramowanie na swoim komputerze.

Zainstalowane oprogramowanie potrafi odczytać login-y i hasła z formularzy znajdujących się w naszych przeglądarkach a nawet wykraść dostęp do kart kredytowych.
Informacje na temat złośliwego oprogramowania:
Poniżej zamieszczamy kilka istotnych informacji na temat złośliwego pliku (każdy z linków prowadzi do tego samego pliku):
nazwa: firmware_tplink_3.8.1_x86_r10932.exe
MD5: a0e2170f8f914d00eab08f7b3019d4ac
VirusTotal
Hybrid Analysis
Malwr
pierwsza obserwacja na VT: 2015-10-30 11:50
serwer C&C: 213.152.162.94, port 3837

Zalecenia bezpieczeństwa:

• pobieramy aktualizację tylko ze strony producenta sprzętu
• aktualizujemy swoje programy antywirusowe
• skanujemy swój komputer w poszukiwaniu złośliwego oprogramowania (Malwarebytes, Adw- Cleaner itp.)
• sprawdzamy z jakich DNS-ów korzysta nasz komputer.

Zwracamy uwagę że inne marki routerów też mogą być zagrożone taki rodzajem ataku.
Inne publikacje w tym temacie: