DNSChanger hoạt động bằng cách thay đổi entry của DNS server trên máy tính bị lây nhiễm để trỏ đến máy chủ DNS độc hại của tin tặc thay vì máy chủ DNS do ISP cung cấp.
Vì vậy,ảnhbáomãđộcDNSChangerchiếmquyềnđiềukhiểnrouterđãxuấthiệntrởlạbảng xếp hạng giải ngoại hạng anh khi bạn dùng một máy tính bị lây nhiễm truy cập một trang web thì máy chủ DNS độc hại sẽ trả về một trang web giả mạo. Tin tặc cũng có thể lây nhiễm vào các quảng cáo, chuyển hướng kết quả tìm kiếm, và cài đặt tự động các phần mềm độc hại vào máy tính.

Đáng lo ngại nhất là các tin tặc đã kết hợp cả hai hình thức tấn công là dùng mã độc DNSChanger sử dụng kĩ thuật Stegno. Một khi bị tấn công, không chỉ máy tính của bạn bị lây nhiễm, mà mã độc này còn kiểm soát cả các router bảo mật kém.
Các chyên gia đã phát hiện thấy DNSChanger trên hơn 166 loại router. Mã độc này không nhằm vào trình duyệt, thay vì đó nó nhắm đến các router chạy firmware chưa được cập nhật bản vá hoặc đặt mật khẩu quản trị yếu.

DNSChanger hoạt động như thế nào?

Thứ nhất, các quảng cáo trên các trang web chính thống ẩn các đoạn mã độc trong dữ liệu hình ảnh. Khi nạn nhân click vào, sẽ chuyển hướng đến các trang web chứa DNSChanger. Sau đó DNSChanger sẽ tấn công vào các router bảo mật kém nói trên.
Một khi xác định được mục tiêu, DNSChanger tự cấu hình để chuyển DNS server của hệ thống sang dùng DNS server độc hại của tin tặc.

Các quảng cáo chứa mã JavaScript độc hại sẽ tiết lộ địa chỉ IP cục bộ của người dùng bằng cách tạo ra một WebRTC request tới Mozilla STUN server.
STUN server sau đó gửi lại ping có chứa các địa chỉ IP và port của khách hàng. Nếu địa chỉ IP của mục tiêu trong phạm vi tấn công, mục tiêu nhận được một quảng cáo giả có chứa mã khai thác trong metadata của một ảnh định dạng PNG.
Cuối cùng malware chuyển hướng khách truy cập đến một trang web chứa DNSChanger, trong đó sử dụng trình duyệt Chrome dành cho Windows và Android để giấu mã khai thác router.

Danh sách một số loại router bị ảnh hưởng

(责任编辑：Bóng đá)