Zwakke en standaardwachtwoorden blijken een manier te zijn waardoor aanvallers de controle over routers krijgen.

De DNS-changer malware voert vanaf het interne netwerk van de gebruiker brute force-aanvallen op de beheerdersinterface van de router uit. Gebruikers die het standaardwachtwoord van de router niet hebben aangepast lopen met name risico. Vervolgens worden de DNS-instellingen aangepast, waardoor criminelen het verkeer van gebruikers via hun server kunnen laten lopen.

De aanval begint via een phishingaanval, die naar een pagina met een script wijst. Dit script voert vervolgens vanaf het interne netwerk de brute force-aanval op de router uit.

Volgens anti-virusbedrijf Trend Micro ondersteunt het script verschillende modellen en fabrikanten, onder andere TP-Link en D-Link. Gebruikers krijgen het advies om voor alle accounts op de router veilige wachtwoorden te gebruiken, het standaard IP-adres te wijzigen en de beheer op afstand-features uit te schakelen. Daarnaast wordt Firefox NoScript aangeraden, dat het uitvoeren van scripts in de browser kan blokkeren.