ルーターのDNS情報を改ざんされる被害が拡大中。最新ファームウェアでもやられている模様。

ルーターのDNS情報を改ざんされる被害が拡大中。最新ファームウェアでもやられている模様。

不正なDNSに設定が変更される

日曜日ぐらいから見かけることが多くなったこの事象、
NICTERでは3/15から観測されていたようです。

3月15日ごろより,Twitter やブログ等で,自宅のWi-FiルータのDNS 情報が書き換えられ,インターネットに接続できなかったり,不審な Androd APK がダウンロードされるという情報が公開されています.

Wi-Fi ルータの DNS 情報の書換え後に発生する事象について-NICTER Blog

起きる事象

・突然、AndroidAPKをダウンロードさせられそうになる

・Facebook等一部サイトへはつながるもののそれ以外のサイトについてはマルウェアをDLするサイトに誘導される。

Wi-Fi ルータ経由で Web サイトにアクセスしようとすると,悪性 DNS サーバによって名前解決が行われた結果,マルウェア配布用悪性 Web サーバに誘導される.そして,「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」のアラートが表示される

 

書き換えられるDNSとマルウェアのDL先。

DNS

  • 220[.]136.176.162
  • 220[.]136.81.222
  • 220[.]136.106.4
  • 118[.]168.201.131 (2018/03/28 追記)

マルウェアダウンロード URL

hxxp://220[.]136.76.200/facebook.apk

改ざんされるルーター

ひかり電話オフィスA(エース)/ひかり電話オフィスタイプ対応アダプター
・Netcommunity OG410Xa
・Netcommunity OG410Xi
・Netcommunity OG810Xa
・Netcommunity OG810Xi
(ファームウェアバージョンは最新版 2.20(2017 年 12 月 18 日提供)を含む全バージョンが対象)

「Netcommunity OGシリーズ」におけるインターネット接続不可事象について(NTT西)

「Netcommunity OGシリーズ」におけるインターネット接続不可事象について(NTT東)

 

セキュリティ設定を無効化してかつパスワードが初期設定というガバガバ設定のときのみやられるようですが

外部業者に設定を依頼して放置している場合などに起きそうな条件。