Dilaga il malware “Roaming mantis”: è allarme

Roaming Mantis arriva anche in europa

A marzo la stampa giapponese riportava la notizia di un nuovo virus che operava come “cavallo di Troia”, cioè nascondendo il suo funzionamento all’interno di un altro programma apparentemente utile e innocuo.

A questo virus è stato dato il nome di Roaming Mantis. Se ne parla soltanto adesso di questa minaccia perché all’inizio aveva trovato la propria diffusione in Giappone, Corea, Cina, India e Bangladesh anche se adesso si sta diffondendo in tutto il mondo, italia compresa. Cerchiamo di capire cosa succede e perchè è pericoloso.

Come funziona l’attacco

Stando a quanto fanno sapere i ricercatori di Kaspersky Lab il malware utilizza router ormai compromessi per infettare smartphone e tablet Android, reindirizza i dispositivi iOS a siti di phishing e attiva su computer fissi e portatili lo script CoinHive per il mining di criptomonete.

Tutto ciò è possibile grazie al DNS hijacking, e per gli utenti colpiti risulta difficile capire che c’è qualcosa che non va sui propri dispositivi.

Cos’è il DNS hijacking

Quando digitate il nome di un sito nella barra degli indirizzi, il browser in realtà non invia una richiesta al sito in questione, perché non può farlo. Internet funziona mediante indirizzi IP composti da una serie di numeri, mentre i nomi di dominio servono per lo più agli utenti per ricordarsi più facilmente il sito che stanno cercando.

Perciò la prima cosa che fa il browser quando viene digitato un URL è inviare una richiesta al cosiddetto server DNS (Domani Name System), che traduce in linguaggio “umano” l’indirizzo IP del sito corrispondente. Il browser usa l’indirizzo IP per individuare il sito e aprirlo.

Il DNS hijacking è un modo per ingannare il browser e indurlo a pensare di aver effettuato la giusta corrispondenza tra nome di dominio e indirizzo IP, anche se ciò non è avvenuto. Anche se l’indirizzo IP non è quello corretto, l’URL originale digitato dall’utente viene mostrato nella barra degli indirizzi del browser, per questo non desta alcun sospetto.

Come proteggersi

  • Utilizzate un antivirus su tutti i dispositivi, non solo su computer e portatili, ma anche su smartphone e tablet;
  • Aggiornate regolarmente tutti i software installati sui vostri dispositivi;
  • Se avete Android disattivate l’opzione che consente l’installazione di applicazioni da risorse sconosciute. Lo abbiamo consigliato già tante volte.
  • Bisogna aggiornare il firmware del router. Non utilizzate firmware non ufficiali scaricate da siti di dubbia provenienza; Utilizzate solo il sito ufficiale del fornitore del router.
  • Modificate la password di default relativa all’amministratore del router.

Sono stato infettato, cosa devo fare

Se avete letto il nostro articolo troppo tardi, cioè quando siete già stati infettati, seguite queste semplici ma altrettanto utili dritte:

  • Bisogna cambiare tutte le password degli account compromessi dal malware. Se avete digitato qualche carta di credito nel browser da quando siete stati infettati allora controllate subito l’estratto conto e controllate con la banca se ci sono dei prelievi. Se sul sito di phishing avete digitato i vostri dati della carta conviene annullarla.
  • Installate un antivirus su tutti i vostri dispositivi e avviate l’analisi del sistema;
  • Date un’occhiata alle impostazioni del router e verificate l’indirizzo del server DNS. Se non corrisponde a quello stabilito dal provider, modificate questo dato;
  • Cambiate la password di amministratore del router e aggiornate il firmware, scaricandolo solamente dal sito ufficiale della casa produttrice.

Se serve siamo a disposizione come al solito.

via




Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.