Фахівці компанії « доктор Веб »Досліджували шкідливу програму Trojan.Rbrute, призначену для злому паролів Wi-Fi-роутерів методом перебору (brute force), а також підміни адрес DNS-серверів, зазначених в налаштуваннях цих пристроїв. Зловмисники використовують дану шкідливу програму для поширення іншого троянця, відомого під ім'ям Win32.Sector.

• сканування мережі по заданому діапазону IP-адрес;
• перебір паролів по словнику.

При цьому перераховані команди не взаємопов'язані і можуть виконуватися троянцем окремо. Якщо по одному з опитаних IP-адрес виявляється працює роутер, Trojan.Rbrute отримує звідти веб-сторінку, визначає модель пристрою з використанням тега realm = \ ", і рапортує про цю подію на керуючий сервер.

Також троянець може отримати команду на підбір пароля до виявленого роутера за словником - таке завдання містить всі необхідні вихідні дані: IP-адреса цілі, DNS для підміни і словник паролів. В якості логіна Trojan.Rbrute використовує значення admin або support.

Якщо аутентифікація з підібраним поєднанням логіна і пароля пройшла успішно, троянець рапортує на віддалений сервер про успішне факт злому і посилає роутера запит на зміну адрес зареєстрованих в його налаштуваннях DNS-серверів. В результаті при спробі відкриття у вікні браузера різних веб-сайтів користувач може бути перенаправлений на інші ресурси, спеціально створені зловмисниками. Ця схема в даний час використовується кіберзлочинцями для розширення чисельності бот-мережі, створеної з використанням шкідливої ​​програми Win32.Sector.