Пользователи Mac и Windows подверглись заражению своих ПК через обновления ПО, которые были доставлены через взломанного интернет-провайдера
gagadget.comИсследователи из компании Volexity обнаружили, что хакеры использовали взлом одного интернет-провайдера для распространения вредоносного ПО среди пользователей Windows и Mac.Атака заключалась во взломе маршрутизаторов или аналогичных устройств инфраструктуры провайдера.
Далее злоумышленники использовали контроль над устройствами для манипуляции ответами системы доменных имен легитимных хостов, распространяя обновления по крайней мере для шести различных приложений Windows и macOS, включая 5KPlayer, Quick Heal, Rainmeter, Partition Wizard, а также Corel и Sogou.Поскольку механизмы обновления не использовали TLS или криптографические подписи, злоумышленники смогли перенаправить пользователей на свои серверы, даже если те использовали публичные DNS-сервисы, такие как Google или Cloudflare.Хакеры, известные как StormBamboo, использовали DNS-подмену для доставки вредоносных файлов, которые затем загружали дополнительные вредоносные компоненты.