Исследователи из компании Bad Packets выявили продолжающуюся с декабря волну автоматизированных атак, нацеленных на подмену настроек DNS на домашних и офисных маршрутизаторах. В случае успешной атаки на устройстве прописываются DNS-серверы злоумышленников, которые для некоторых доменов возвращают фиктивные IP-адреса, что приводит к перенаправлению на подставные варианты сайтов, созданные для фишинга и захвата параметров аутентификации.

Атака нацелена на поражения маршрутизаторов, работающих под управлением необновлённых прошивок, содержащих известные уязвимости.
Например, для атаки на устройства D-Link используется выявленная ещё в 2015 году уязвимость, позволяющая изменить настройки DNS без прохождения аутентификации. Для сканирования сети используются взломанные окружения в сервисе Google Cloud.

В ходе атаки поражаются маршрутизаторы D-Link (DSL-2640B, DSL-2740R, DSL-2780B и DSL-526B),
ARG-W4 ADSL, DSLink (260E), Secutech и TOTOLINK. Наибольшее число скомпрометированных систем приходится на устройства D-Link DSL-2640B (14327 уязвимых устройств) и
TOTOLINK (2265 уязвимых устройств). После успешной атаки на устройства прописывается один из подконтрольных злоумышленникам DNS-серверов: 144.217.191.145, 66.70.173.48, 195.128.124.131 и 195.128.126.165.