Investigadores da BleepingComputer e da Bitdefender descobriram esta tendência na alarmística, sendo que os utilizadores estavam a ser redirecionados a sites informativos sobre o COVID-19, com informação supostamente da Organização Mundial de Saúde, e dessa forma eram infetados pelo malware Oski - feito para roubar informações dos browsers e ficheiros relacionados com a cryptowallet para roubar contas de criptomoedas.

Acredita-se que os ataques efetuados a estes routers sejam de força-bruta, e a partir do momento que conseguem aceder aos mesmos, os atacantes alteram o servidor de DNS por defeito, apontado o dispositivo do utilizador para sites que estejam sob o seu controlo. Dessa forma, é pedido aos utilizadores, assim que chegam a esses sites, para instalarem uma app falsa sobre o COVID-19.

A nível de IP's, constata-se que são usados os servidores de DNS 109[.]234.35.230 e 94[.]103.82.249. Qualquer router cujo servidor de DNS aponte para um destes IP's indica que foi comprometido.

A nível de domínios, segue-se a lista de alguns para os quais o ataque está apontado:

aws.amazon.com goo.gl bit.ly washington.edu imageshack.us ufl.edu disney.com cox.net xhamster.com pubads.g.doubleclick.net tidd.ly redditblog.com fiddler2.com winimage.com

Proteger os routers

Restaurar as configurações de DNS para endereços IP legítimos

Alterar a palavra-passe do painel de administrador

Mais informações: https://www.zdnet.com/article/d-link-and-linksys-routers-hacked-to-point-users-to-coronavirus-themed-malware/