O grupo de hackers TheWizards lançou uma campanha usando uma vulnerabilidade no SLAAC, uma das funções do protocolo de rede IPv6, que é usado ativamente por invasores para hackear os recursos de certas organizações e interceptar atualizações de software. A campanha foi descoberta por especialistas da ESET.
Fonte da imagem: Glen Carrie / unsplash.com
Durante o ataque, os invasores usam a ferramenta de software Spellbinder, que envia mensagens falsas de Anúncio de Roteador (RA) aos recursos de seus alvos. Ao receber essa mensagem, o dispositivo de destino percebe o servidor controlado pelo hacker como um roteador e roteia todo o seu tráfego por meio dele. O ataque é baseado na manipulação do processo de Autoconfiguração de Endereços Sem Estado (SLAAC), daí o nome “spoofing de SLAAC”.
Após ganhar controle sobre o tráfego, os hackers TheWizards usam o Spellbinder para interceptar solicitações de dispositivos para domínios com atualizações de software e redirecioná-los. Como resultado, as vítimas recebem atualizações com trojans, em particular, com o backdoor WizardNet. Os invasores usam acesso remoto aos dispositivos alvo, comunicam-se com eles por meio de soquetes TCP ou UDP criptografados e usam SessionKey com base em identificadores do sistema para criptografia AES. O WizardNet carrega e executa módulos .NET na memória, recupera dados do sistema, lista processos em execução e mantém a presença.
A campanha está ativa desde pelo menos 2022, dizem especialistas da ESET; Os alvos são indivíduos e organizações principalmente na China, Hong Kong, Camboja, Emirados Árabes Unidos e Filipinas. Há uma versão em que o servidor com atualizações falsas continua funcionando no momento. O Spellbinder monitora solicitações para domínios Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 e Baofeng. A única maneira de se proteger contra o ataque é monitorar o tráfego IPv6 ou desabilitar o protocolo se não for claramente necessário, disse a ESET.
O WhatsApp, o serviço de mensagens instantâneas, começou a implementar suporte para nomes de usuário,…
A empresa indiana de petróleo e gás Greenvize lançou um fogão a gás ecológico para…
As autoridades americanas pretendem endurecer as medidas contra dispositivos eletrônicos fabricados fora do país. A…
De acordo com as previsões do Synergy Research Group, os operadores de data centers de…
No ano passado, ficou claro que a Tesla não estava preparada para investir pesadamente na…
A 2GIS adicionou um novo modo de navegação "Passo a Passo" ao seu aplicativo, projetado…