Фахівці компанії «Доктор Веб» знайшли шкідливу програму Trojan.Rbrute, призначену для злому паролів Wi-Fi-роутерів методом перебору (brute force), а також підміни адрес DNS-серверів, зазначених в налаштуваннях цих пристроїв. Зловмисники використовують дану шкідливу програму для поширення іншого троянця, відомого під ім'ям Win32.Sector.

Запустити на інфікованому комп'ютері, що працює під управлінням Windows, Trojan.Rbrute встановлює з'єднання з віддаленим сервером і очікує від нього відповідних команд. В якості однієї з них троянець отримує діапазон IP-адрес для виконання сканування. Шкідлива програма має функціоналом по підбору паролів до наступних моделям Wi-Fi-роутерів: D-Link DSL-2520U, DSL-2600U, TP-Link TD-W8901G, TD-W8901G 3.0, TD-W8901GB, TD-W8951ND, TD-W8961ND , TD-8840T, TD-8840T 2.0, TD-W8961ND, TD-8816, TD-8817 2.0, TD-8817, TD-W8151N, TD-W8101G, ZTE ZXV10 W300, ZXDSL 831CII і деяким іншим. Фактично, троянець здатний виконувати дві команди:

1. сканування мережі по заданому діапазону IP-адрес;
2. перебір паролів по словнику.

При цьому перераховані команди не взаємопов'язані і можуть виконуватися троянцем окремо. Якщо по одному з опитаних IP-адрес виявляється працює роутер, Trojan.Rbrute отримує звідти веб-сторінку, визначає модель пристрою з використанням тега realm = \ », і рапортує про цю подію на керуючий сервер.

Також троянець може отримати команду на підбір пароля до виявленого роутера за словником - таке завдання містить всі необхідні вихідні дані: IP-адреса цілі, DNS для підміни і словник паролів. В якості логіна Trojan.Rbrute використовує значення admin або support.

Якщо аутентифікація з підібраним поєднанням логіна і пароля пройшла успішно, троянець рапортує на віддалений сервер про успішне факт злому і посилає роутера запит на зміну адрес зареєстрованих в його налаштуваннях DNS-серверів. В результаті при спробі відкриття у вікні браузера різних веб-сайтів користувач може бути перенаправлений на інші ресурси, спеціально створені зловмисниками. Ця схема в даний час використовується кіберзлочинцями для розширення чисельності бот-мережі, створеної з використанням шкідливої ​​програми Win32.Sector.

В цілому використовувана зловмисниками схема виглядає наступним чином:

1. На комп'ютер, вже інфікований троянцем Win32.Sector, з використанням цієї шкідливої ​​програми завантажується Trojan.Rbrute.
2. Trojan.Rbrute отримує з керуючого сервера завдання на пошук Wi-Fi-маршрутизаторів і дані для підбору паролів до них.
3. У разі успіху Trojan.Rbrute підміняє в настройках роутера адреси DNS-серверів.
4. При спробі підключення до Інтернету користувач незараженої комп'ютера, який використовує підключення через скомпрометований маршрутизатор, перенаправляється на спеціально створену зловмисниками веб-сторінку.

5. З цієї сторінки на комп'ютер жертви завантажується троян Win32.Sector і інфікує його.
6. Згодом Win32.Sector може завантажити на знову інфікований ПК копію троянця Trojan.Rbrute. Цикл повторюється.

Фахівці компанії «Доктор Веб» рекомендують власникам Wi-Fi-роутерів не використовувати на своїх пристроях налаштування за замовчуванням і встановлювати в адміністративному інтерфейсі роутерів складні паролі, які ускладнять їх злом методом простого перебору.