趋势科技研究人员发现了一款新型JS恶意软件,它不仅感染移动设备还攻击用户的家庭路由器并更改其DNS设置。
这款恶意软件名为JS_JITON,首次于2015年12月底出现,并一直感染设备,在2016年2月份达到峰值,每天发动的感染次数超过1500次。
JS_JITON感染始于俄罗斯和亚洲网站
这款恶意软件的感染链很简单。研究人员表示,攻击者会在被攻陷的站点上防止恶意代码然后等待用户通过移动设备访问这些页面。随后恶意软件就会被下载到用户的移动设备并执行,试图通过一系列硬编码到JS_JITON恶意软件源代码中的管理员用户名和密码组合连接到本地家庭网络的路由器IP。一旦恶意软件在设备上获得验证,它就会更改路由器的DNS设置。
JS_JITON每周都在更新
目前尚不得知恶意软件为何会执行该例程,但是由于恶意软件中还包括从桌面电脑中执行的恶意代码,研究人员认为恶意软件创建者还在探索攻击的能力。攻击者例行更新JS_JITON源代码的行为也佐证了这一点。攻击者不断更改小细节并调整攻击。此外,JS_JITON源代码还包含一个键盘记录组件。
研究人员发现JS_JITON能够攻击D-Link和TP-Link路由器,其中还包括可以利用ZTE猫中的一个老旧漏洞CVE-2014-2321发动攻击。
多数恶意JS_JITON代码托管在俄罗斯和亚洲国家的受感染站点中,但攻击者还是将其传播到全球各地。受感染最多的国家和地区分别是台湾(27%)、日本(20%)、中国(13%)、美国(8%)和法国(5%)。