Un payload per modificare le impostazioni DNS del router di casa viene fornita attraverso una pubblicità dannoso inserito in una grande rete di pubblicità online.
La definizione di malvertising è un attacco in cui i criminali informatici sfruttano servizi di terze parti per visualizzare siti web. Normalmente, l'attacco include un redirect ad una pagina web compromessa o uno controllato da hacker, serve un payload dannoso.
In questa particolare campagna i truffatori hanno inserito il payload direttamente l'annuncio che viene consegnato alle pagine web tramite un dominio di proprietà di Google, chiamato googlesyndication.com.
Gli esperti analizzano la URL dannoso scoperto che i criminali informatici hanno codificato il codice per mascherare la minaccia. Nel processo di decodifica, gli esperti hanno dovuto passare attraverso 2 716 caratteri vuoti prima di inciampare su uno maligno che cerca di modificare le impostazioni DNS del router di casa della vittima e forzare un riavvio.
Un server DNS è appositamente configurato per tradurre l'indirizzo IP del sito web in un ingresso leggibile. Questo modo, gli attaccanti possono convertire un diverso IP nel dominio che è richiesto dalla vittima e servire contenuti arbitrari.
Il server DNS utilizzato durante l'attacco è riferito trova negli Stati Uniti. Gli esperti ritengono che il server non è stato usato finora, perché non serve IP dannosi.
