GhostDNS malware na usmjerivačima može ukrasti podatke o korisničkom bankarstvu

Stručnjaci su otkrili da GhostDNS, sofisticirani DNS sustav otmice za krađu podataka, pogađa više od 100.000 usmjerivača - 87 posto njih u Brazilu. Prema Netlabu, tvrtki specijaliziranoj za informacijsku sigurnost, malware je pronađen u 70 drugih modela, uključujući marke kao što su TP-Link, D-Link, Intelbras, Multilaser i Huawei, među ostalima.

Koristeći metodu phishinga, konačni cilj napada je otkriti vjerodajnice važnih web-mjesta, kao što su banke i veliki pružatelji. Netlab u 360 zapisa koji su otkrili prijevaru, Netflixovi brazilski URL-ovi, Santander i Citibank bili su neki od onih koje je provalio GhostDNS. Zatim saznajte sve o zlonamjernom softveru i saznajte kako se zaštititi.

PROČITAJ: Štrajk u ruteru već doseže tisuće domova u Brazilu; izbjegavati

Malware GhostDNS napada više od 100.000 usmjerivača i može ukrasti bankovne podatke

Želite li kupiti mobitel, TV i druge proizvode s popustom? Upoznajte Usporedbu

Što je napad?

Zlonamjerni softver o kojem je izvijestio Netlab na 360 izvršava napad poznat kao DNSchange. Općenito, ova prijevara pokušava pogoditi lozinku za usmjerivač na web stranici za konfiguraciju pomoću ID-ova koje proizvođači zadano postavljaju kao što su admin / admin, root / root, itd. Drugi način je preskočiti provjeru autentičnosti skeniranjem dnscfg.cgi. Uz pristup postavkama usmjerivača, zlonamjerni program mijenja zadanu DNS adresu - koja prevodi URL-ove s poželjnih web-mjesta, kao što su banke - na IP-ove zlonamjernih web-lokacija.

GhostDNS je mnogo poboljšana verzija ove taktike. Ima tri verzije DNSChanger, nazvane u samoj školjci DNSChanger, DNSChanger i PyPhp DNSChanger. PyPhp DNSChanger je glavni modul među troje, koji je postavljen na više od 100 poslužitelja, uglavnom Google Cloud. Zajedno okupljaju više od 100 napadajućih skripti, namijenjenih usmjerivačima u internetskim i intranetskim mrežama.

Kao da to nije dovoljno, još uvijek postoje tri ostala strukturna modula u GhostDNS-u, uz DNSChanger. Prvi je Rouge DNS poslužitelj koji otima domene banaka, usluga u oblaku i drugih web-mjesta s zanimljivim vjerodajnicama za kriminalce. Drugi je web-phishing sustav, koji uzima IP adrese iz ukradenih domena i komunicira sa žrtvama putem lažnih web-mjesta. Konačno, tu je i sustav web administracije, na kojem stručnjaci još uvijek imaju malo informacija o operaciji.

Grafikon toka napada na GhostDNS usmjeren na usmjerivače

Rizici napada

Veliki rizik od napada je da s DNS hijacking, čak i ako unesete točan URL vaše banke u pregledniku, to može preusmjeriti na IP zlonamjerne stranice. Dakle, čak i kada korisnik identificira promjene na sučelju stranice, on je uvjeren da je u sigurnom okruženju. To povećava šanse za upisivanjem bankovnih zaporki, e-pošte, usluga pohrane u oblaku i ostalih vjerodajnica koje internetski kriminalci mogu koristiti.

Koji su usmjerivači bili pogođeni?

U razdoblju od 21. do 27. rujna Netlab na 360 je pronašao preko 100.000 IP adresa zaraženih usmjerivača. Od toga, 87, 8% - ili otprilike 87, 800 - nalazi se u Brazilu. Međutim, zbog varijacija adrese, stvarni broj može biti malo drugačiji.

Brojač zaraženih usmjerivača GhostDNS

Oštećeni usmjerivači zaraženi su različitim modulima DNSChanger. U DNSChanger Shell su identificirani sljedeći modeli:

• 3COM OCR-812
• AP-ROUTER
• D-LINK
• D-LINK DSL-2640T
• D-LINK DSL-2740R
• D-LINK DSL-500
• D-LINK DSL-500G / DSL-502G
• Huawei SmartAX MT880a
• Intelbras WRN240-1
• Kaiomy Router
• MikroTiK usmjerivači
• OIWTECH OIW-2415CPE
• Ralink usmjerivači
• SpeedStream
• SpeedTouch
• šator
• TP-LINK TD-W8901G / TD-W8961ND / TD-8816
• TP-LINK TD-W8960N
• TP-LINK TL-WR740N
• TRIZ TZ5500E / VIKING
• VIKING / DSLINK 200 U / E

Ruteri na koje je utjecao DNSChanger Js bili su sljedeći:

• A-Link WL54AP3 / WL54AP2
• D-Link DIR-905L
• GWR-120 Usmjerivač
• Secutech RiS Firmware
• SmartGate
• TP-Link TL-WR841N / TL-WR841ND

Konačno, uređaji na koje utječe glavni modul, PyPhp DNSChanger, su sljedeći:

• AirRouter AirOS
• Antena PQWS2401
• C3-TECH usmjerivač
• Usmjerivač tvrtke Cisco
• D-Link DIR-600
• D-Link DIR-610
• D-Link DIR-615
• D-Link DIR-905L
• D-Link ShareCenter
• Elsys CPE-2n
• Fiberhome
• Fiberhome AN5506-02-B
• Fiberlink 101
• GPON ONU
• Greatek
• GWR 120
• Huawei
• Intelbras WRN 150
• Intelbras WRN 240
• Intelbras WRN 300
• LINKONE
• MikroTik
• Multilaser
• OIWTECH
• PFTP-WR300
• QBR-1041 WU
• PNRT150M usmjerivač
• Bežični N 300Mbps router
• WRN150 Usmjerivač
• WRN342 Usmjerivač
• Sapido RB-1830
• TECHNIC LAN WAR-54GS
• Tenda Wireless-N Broadband Router
• Thomson
• TP-Link Archer C7
• TP-Link TL-WR1043ND
• TP-Link TL-WR720N
• TP-Link TL-WR740N
• TP-Link TL-WR749N
• TP-Link TL-WR840N
• TP-Link TL-WR841N
• TP-Link TL-WR845N
• TP-Link TL-WR849N
• TP-Link TL-WR941ND
• Wive-NG firmware usmjerivači
• ZXHN H208N
• Zyxel VMG3312

Kako se zaštititi

Prvi korak je promjena lozinke usmjerivača, osobito ako koristite zadani kod ili prihvatite slabu lozinku. Također se preporučuje da ažurirate firmver usmjerivača i provjerite postavke ako se DNS promijenio.

Kako postaviti lozinku za Wi-Fi usmjerivač

Što kažu proizvođači

Tvrtka je kontaktirala Intelbras, koji nije svjestan bilo kakvih problema sa svojim usmjerivačima: "Ovime vas obavještavamo da do sada nismo registrirali slučaj ozljeda naših korisnika putem naših 14 uslužnih kanala koji odgovaraju ranjivosti Intelbrasovih usmjerivača." Što se tiče sigurnosti, tvrtka upućuje potrošače da idu u korak s rutinskim ažuriranjem opreme: "kontrola i dostupnost ažuriranih firmware-a dostupni su na našoj web stranici (www.intelbras.com.br/downloads)".

Multilaser također tvrdi kako do sada nisu prijavljeni problemi. "Nije bilo kontakta s korisnicima putem kanala usluga koji bi se mogli povezati s događajem. Multilaser savjetuje potrošačima da kontaktiraju podršku za više informacija o ažuriranjima i konfiguracijama uređaja marke."

D-Link izvješćuje da je ranjivost već prijavljena. Prema priopćenju poslanom tvrtki, tvrtka je omogućila rješenje korisnicima svojih usmjerivača. "D-Link naglašava važnost stalnog ažuriranja firmware-a routera od strane korisnika, što povećava sigurnost opreme i veze", dodaje on.

TP-Link tvrdi da je svjestan problema i preporučuje korisnicima da ažuriraju firmver i mijenjaju lozinku za svoje uređaje. TP-Link je svjestan istraživanja ranjivosti svojih usmjerivača kao načina da se spriječi ovaj mogući malware, TP-Link preporučuje sljedeće korake:

• Promijenite zadanu zaporku na složeniju lozinku kako biste spriječili da uljezi pristupaju postavkama usmjerivača;
• Provjerite koristi li usmjerivač najnoviju verziju firmvera. Ako ne, nadogradite kako biste spriječili korištenje starih ranjivosti. "

Huawei nije komentirao dok se to pitanje ne objavi.

Via Netlab na 360. \ t

Koji je najbolji kanal za Wi-Fi usmjerivač? Otkrijte na forumu.