O ataque, realizado por pesquisadores da empresa de segurança Volexity, funcionou invadindo roteadores ou dispositivos de infraestrutura semelhantes de um ISP não identificado. Os atacantes então usaram o controle dos dispositivos para envenenar as respostas do sistema de nomes de domínio para nomes de host legítimos que forneciam atualizações para pelo menos seis aplicativos diferentes escritos para Windows ou macOS. Os aplicativos afetados foram o 5KPlayer, Quick Heal, Rainmeter, Partition Wizard e os da Corel e Sogou.
Esses não são os servidores de atualização que você está procurando
Como os mecanismos de atualização não usavam TLS ou assinaturas criptográficas para autenticar as conexões ou o software baixado, os atores de ameaças puderam usar seu controle da infraestrutura do ISP para realizar com sucesso ataques de intermediário (MitM) que direcionaram os usuários-alvo para servidores hostis em vez dos operados pelos fabricantes de software afetados. Essas redireções funcionavam mesmo quando os usuários usavam serviços DNS públicos não criptografados, como o 8.8.8.8 do Google ou o 1.1.1.1 do Cloudflare, em vez do servidor DNS autoritativo fornecido pelo ISP.
Redação Confraria Tech
Referências:
Hacked ISP infects users receiving unsecure software updates
