Categorias: Sem categoria

Hackers invadiram uma das funções do protocolo IPv6 e estão interceptando atualizações de software

O grupo de hackers TheWizards lançou uma campanha usando uma vulnerabilidade no SLAAC, uma das funções do protocolo de rede IPv6, que é usado ativamente por invasores para hackear os recursos de certas organizações e interceptar atualizações de software. A campanha foi descoberta por especialistas da ESET.

Fonte da imagem: Glen Carrie / unsplash.com

Durante o ataque, os invasores usam a ferramenta de software Spellbinder, que envia mensagens falsas de Anúncio de Roteador (RA) aos recursos de seus alvos. Ao receber essa mensagem, o dispositivo de destino percebe o servidor controlado pelo hacker como um roteador e roteia todo o seu tráfego por meio dele. O ataque é baseado na manipulação do processo de Autoconfiguração de Endereços Sem Estado (SLAAC), daí o nome “spoofing de SLAAC”.

Após ganhar controle sobre o tráfego, os hackers TheWizards usam o Spellbinder para interceptar solicitações de dispositivos para domínios com atualizações de software e redirecioná-los. Como resultado, as vítimas recebem atualizações com trojans, em particular, com o backdoor WizardNet. Os invasores usam acesso remoto aos dispositivos alvo, comunicam-se com eles por meio de soquetes TCP ou UDP criptografados e usam SessionKey com base em identificadores do sistema para criptografia AES. O WizardNet carrega e executa módulos .NET na memória, recupera dados do sistema, lista processos em execução e mantém a presença.

A campanha está ativa desde pelo menos 2022, dizem especialistas da ESET; Os alvos são indivíduos e organizações principalmente na China, Hong Kong, Camboja, Emirados Árabes Unidos e Filipinas. Há uma versão em que o servidor com atualizações falsas continua funcionando no momento. O Spellbinder monitora solicitações para domínios Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 e Baofeng. A única maneira de se proteger contra o ataque é monitorar o tráfego IPv6 ou desabilitar o protocolo se não for claramente necessário, disse a ESET.

admin

Postagens recentes

Anunciados óculos inteligentes Solos AirGo A6 – sem câmera, mas com IA

\nA empresa Solos lançou uma nova versão dos óculos inteligentes AirGo A6, que, assim como…

3 horas atrás

Analistas: antes mesmo do lançamento, Assassin’s Creed Black Flag Resynced ultrapassou Skull and Bones em vendas no Steam

\nO aguardado remake do thriller de ação pirata de mundo aberto Assassin’s Creed IV: Black…

4 horas atrás

Chega de Burnout e Need for Speed: depois de 30 anos fazendo jogos de corrida, a Criterion está “inteiramente focada” no Battlefield

\nO estúdio Criterion Games da Electronic Arts está comemorando seu 30º aniversário em 2026, mas…

4 horas atrás

Marshall introduziu alto-falantes sem fio Acton IV e Stanmore IV com graves aprimorados e maior capacidade de reparo

\nA Marshall anunciou novas versões de seus alto-falantes Bluetooth - Acton IV e Stanmore IV,…

5 horas atrás

“James Webb” mostrou a imagem mais detalhada da galáxia Centaurus A

\nA NASA divulgou as imagens mais detalhadas da galáxia Centaurus A, obtidas pelo Telescópio Espacial…

5 horas atrás

A Apple conquistou 90% do mercado de smartwatches com IA, que cresceu 70% em um ano

\nNo primeiro trimestre de 2026, as remessas globais de smartwatches com suporte para sistemas de…

5 horas atrás