Зловредният софтуер GhostDNS на маршрутизаторите може да открадне данните за потребителското банкиране
Експертите са открили, че GhostDNS, сложна DNS система за отвличане на данни за кражба на данни, засяга повече от 100 000 маршрутизатора - 87% от тях в Бразилия. Според Netlab, компания, специализирана в областта на информационната сигурност, зловредният софтуер е намерен в 70 други модела, включително марки като TP-Link, D-Link, Intelbras, Multilaser и Huawei.
Използвайки метода на фишинг, крайната цел на атаката е да открие пълномощията на важни сайтове, като банки и големи доставчици. Netlab на 360 записа, които откриха измамата, бразилските URL адреси на Netflix, Сантандер и Ситибанк бяха някои от онези, които бяха нападнати от GhostDNS. След това научете всичко за зловредния софтуер и научете как да се предпазите.
ЧЕТЕНЕ: Стачката в рутера вече достига до хиляди домове в Бразилия; избегне
Malware GhostDNS атакува повече от 100 000 маршрутизатора и може да открадне банкови данни
Искате ли да купите мобилен телефон, телевизор и други продукти с отстъпка? Знайте Сравнението
Каква е атаката?
Зловредният софтуер, докладван от Netlab на 360, извършва атака, известна като DNSchange. Обикновено тази измама се опитва да отгатне паролата на рутера на страницата за уеб конфигурация, като използва идентификатори, зададени по подразбиране от производители като admin / admin, root / root и т.н. Друг начин е да пропуснете удостоверяване чрез сканиране на dnscfg.cgi. С достъпа до настройките на маршрутизатора, зловредният софтуер променя подразбиращия се DNS адрес - който превежда URL адреси от желани сайтове, като банки - към злонамерени IP адреси.
GhostDNS е много подобрена версия на тази тактика. Той има три версии на DNSChanger, наречени в самата обвивка DNSChanger, DNSChanger и PyPhp DNSChanger. PyPhp DNSChanger е основният модул сред трите, които са били внедрени на повече от 100 сървъра, предимно Google Cloud. Заедно те обединяват повече от 100 атакуващи скрипта, предназначени за рутери в интернет и интранет мрежи.
Като че ли това не е достатъчно, все още има три други структурни модула в GhostDNS, в допълнение към DNSChanger. Първият е DNS сървърът на Rouge, който отнема домейните на банките, облачните услуги и други сайтове с интересни данни за престъпниците. Втората е системата за уеб фишинг, която приема IP адреси от откраднати домейни и взаимодейства с жертвите чрез фалшиви сайтове. И накрая, съществува система за уеб администриране, на която експертите все още имат малко информация за операцията.
GhostDNS-промотирана блок-схема за атака към маршрутизатори
Рискове от атаката
Големият риск от атаката е, че при отвличането на DNS, дори ако въведете правилния URL адрес на вашата банка в браузъра, той може да пренасочи към IP на злонамерен сайт. Така че дори когато потребителят идентифицира промени в интерфейса на страницата, той е убеден, че е в защитена среда. Това увеличава шансовете за въвеждане на банкови пароли, електронна поща, услуги за съхранение в облак и други идентификационни данни, които могат да бъдат използвани от киберпрестъпниците.
Кои рутери са засегнати?
В периода от 21 до 27 септември, Netlab на 360 откри малко над 100 000 IP адреса на заразените маршрутизатори. От тях 87, 8% - или приблизително 87 800 - са в Бразилия. Въпреки това, поради вариации в адреса действителният брой може да е малко по-различен.
Counter на заразения маршрутизатор GhostDNS
Засегнатите маршрутизатори бяха заразени с различни модули DNSChanger. В DNSChanger Shell са идентифицирани следните модели:
- 3COM OCR-812
- AP-ROUTER
- D-LINK
- D-LINK DSL-2640T
- D-LINK DSL-2740R
- D-LINK DSL-500
- D-LINK DSL-500G / DSL-502G
- Huawei SmartAX MT880a
- Intelbras WRN240-1
- Kaiomy Router
- Маршрутизатори на МикроТиК
- OIWTECH OIW-2415CPE
- Маршрутизатори Ralink
- SpeedStream
- SpeedTouch
- палатка
- TP-LINK TD-W8901G / TD-W8961ND / TD-8816
- TP-LINK TD-W8960N
- TP-LINK TL-WR740N
- TRIZ TZ5500E / VIKING
- VIKING / DSLINK 200 U / E
Вече маршрутизаторите, засегнати от DNSChanger Js, бяха следните:
- A-Link WL54AP3 / WL54AP2
- D-Link DIR-905L
- GWR-120 Маршрутизатор
- Secutech RiS Firmware
- SmartGate
- TP-Link TL-WR841N / TL-WR841ND
И накрая, устройствата, засегнати от основния модул, PyPhp DNSChanger, са следните:
- AirRouter AirOS
- Антена PQWS2401
- C3-TECH рутер
- Cisco маршрутизатор
- D-Link DIR-600
- D-Link DIR-610
- D-Link DIR-615
- D-Link DIR-905L
- D-Link ShareCenter
- Elsys CPE-2n
- FiberHome
- Fiberhome AN5506-02-B
- Fiberlink 101
- GPON ONU
- Greatek
- GWR 120
- Huawei
- Intelbras WRN 150
- Intelbras WRN 240
- Intelbras WRN 300
- LINKONE
- MikroTik
- Multilaser
- OIWTECH
- PFTP-WR300
- QBR-1041 WU
- PNRT150M рутер
- Безжичен N 300Mbps рутер
- WRN150 Рутер
- WRN342 Рутер
- Sapido RB-1830
- ТЕХНИЧЕСКА МРЕЖА-54GS
- Tenda Wireless-N широколентов маршрутизатор
- Thomson
- TP-Link Archer C7
- TP-Link TL-WR1043ND
- TP-Link TL-WR720N
- TP-Link TL-WR740N
- TP-Link TL-WR749N
- TP-Link TL-WR840N
- TP-Link TL-WR841N
- TP-Link TL-WR845N
- TP-Link TL-WR849N
- TP-Link TL-WR941ND
- Wive-NG фърмуер рутери
- ZXHN H208N
- Zyxel VMG3312
Как да се предпазите
Първата стъпка е да промените паролата на маршрутизатора, особено ако използвате кода по подразбиране или приемете слаба парола. Също така се препоръчва да актуализирате фърмуера на маршрутизатора и да проверите настройките, ако DNS се промени.
Как да зададете паролата за Wi-Fi рутера
Какво казват производителите
Компанията се е свързала с Intelbras, която не е запозната с никакви проблеми с маршрутизаторите: "С настоящото ви уведомяваме, че досега не сме регистрирали случай на нараняване на нашите потребители чрез нашите 14 канала за обслужване, съответстващи на уязвимостта на Intelbras рутери." По отношение на сигурността, компанията насочва потребителите да следят рутинната актуализация на оборудването: "контролът и наличието на актуализиран фърмуер са достъпни на нашия уебсайт (www.intelbras.com.br/downloads)".
Multilaser твърди също, че досега няма съобщени проблеми. „Нямаше контакт с клиентите чрез каналите за услуги, които биха могли да бъдат свързани с събитието. Multilaser съветва потребителите да се свържат с поддръжката за повече информация за актуализациите и конфигурациите на устройствата на марката“.
D-Link съобщава, че уязвимостта вече е съобщена. Според съобщението, изпратено до, компанията е предоставила решението на потребителите на своите маршрутизатори. "D-Link потвърждава важността на непрекъснатото обновяване на фърмуера на маршрутизаторите от потребителите, което увеличава сигурността на оборудването и връзката", добавя той.
TP-Link твърди, че е наясно с проблема и препоръчва потребителите да актуализират фърмуера и да променят паролата за своите устройства. TP-Link е наясно с проучването на уязвимостта на маршрутизаторите като начин за предотвратяване на този възможен злонамерен софтуер, TP-Link препоръчва следните стъпки:
- Променете паролата по подразбиране на по-сложна парола, за да предотвратите достъпа на нарушителите до настройките на рутера;
- Уверете се, че вашият рутер използва най-новата версия на фърмуера. Ако не, надградете, за да предотвратите използването на по-старите уязвимости. "
Huawei не коментира до публикуването на този въпрос.
Чрез Netlab на 360
Кой е най-добрият канал за Wi-Fi рутер? Открийте във форума.
