GhostDNS ļaunprātīgas programmatūras maršrutētāji var nozagt lietotāja bankas datus

Eksperti ir atklājuši, ka GhostDNS, sarežģīta DNS zādzības sistēma datu zādzībām, ietekmē vairāk nekā 100 000 maršrutētāju - 87% no tiem Brazīlijā. Saskaņā ar Netlab, kas specializējas informācijas drošības jomā, 70 citos modeļos ir konstatētas ļaunprātīgas programmatūras, tostarp tādi zīmoli kā TP-Link, D-Link, Intelbras, Multilaser un Huawei.

Izmantojot pikšķerēšanas metodi, uzbrukuma galīgais mērķis ir atklāt svarīgu vietu, piemēram, banku un lielu pakalpojumu sniedzēju, akreditācijas datus. Netlab 360 ierakstos, kas atklāja scam, Netflix Brazīlijas URL, Santander un Citibank bija daži no tiem, kurus iebruka GhostDNS. Tālāk uzziniet visu par ļaunprātīgu programmatūru un uzziniet, kā sevi aizsargāt.

NOLASĪT: Brīdī esošais streiks jau sasniedz tūkstošus mājokļu; izvairīties

Malware GhostDNS ievaino vairāk nekā 100 000 maršrutētāju un var nozagt bankas datus

Vēlaties iegādāties mobilo telefonu, TV un citus atlaides produktus? Ziniet salīdzinājumu

Kāds ir uzbrukums?

Netlab ziņotā ļaunprātīgā programmatūra 360 veic uzbrukumu, ko sauc par DNS apmaiņu. Parasti šis scam mēģina uzminēt maršrutētāja paroli tīmekļa konfigurācijas lapā, izmantojot ID, ko ražotāji, piemēram, admin / admin, root / root, utt. Vēl viens veids ir izlaist autentifikāciju, skenējot dnscfg.cgi. Piekļūstot maršrutētāja iestatījumiem, ļaunprātīga programmatūra maina noklusēto DNS adresi - kas pārvērš URL no vēlamajām vietnēm, piemēram, bankām, uz ļaunprātīgas vietnes IP.

GhostDNS ir daudz labāka šīs taktikas versija. Tajā ir trīs DNSChanger versijas, ko sauc par pašu apvalku DNSChanger, DNSChanger un PyPhp DNSChanger. PyPhp DNSChanger ir galvenais modulis starp trim, kas ir izvietots vairāk nekā 100 serveros, galvenokārt Google Cloud. Kopā tie apvieno vairāk nekā 100 uzbrukumu skriptus, kas paredzēti maršrutētājiem internetā un iekštīkla tīklos.

Tāpat kā tas nebūtu pietiekams, GhostDNS papildus DNSChanger ir vēl trīs strukturālie moduļi. Pirmais ir Rouge DNS serveris, kas nolaupīja banku, mākoņa pakalpojumu un citu vietņu domēnus ar interesantiem akreditācijas datiem noziedzniekiem. Otrā ir tīmekļa pikšķerēšanas sistēma, kurā IP adreses tiek nozagtas, un mijiedarbojas ar cietušajiem, izmantojot viltotas vietas. Visbeidzot, ir tīmekļa administrēšanas sistēma, kurā ekspertiem joprojām ir maz informācijas par darbību.

GhostDNS popularizēta uzbrukuma shēma maršrutētājiem

Uzbrukuma riski

Liels uzbrukuma risks ir tas, ka ar DNS nolaupīšanu pat tad, ja pārlūkā ievadāt pareizo bankas adresi, tas var novirzīt ļaunprātīgas vietnes IP. Tātad, pat ja lietotājs identificē izmaiņas lapas interfeisā, viņam jādomā, ka viņš atrodas drošā vidē. Tas palielina iespēju ievadīt bankas paroles, e-pastu, mākoņdatošanas pakalpojumus un citus akreditācijas datus, ko var izmantot kibernoziedznieki.

Kādi maršrutētāji ir ietekmēti?

Laikā no 21. līdz 27. septembrim Netlab 360 atradās nedaudz vairāk nekā 100 000 inficēto maršrutētāju IP adreses. No tiem 87, 8% jeb aptuveni 87 800 ir Brazīlijā. Tomēr, ņemot vērā adreses atšķirības, faktiskais skaits var būt nedaudz atšķirīgs.

GhostDNS inficētie maršrutētāju skaitītāji

Ietekmētie maršrutētāji tika inficēti ar dažādiem DNSChanger moduļiem. DNSChanger apvalkā ir noteikti šādi modeļi:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy Router
  • MikroTiK maršrutētāji
  • OIWTECH OIW-2415CPE
  • Ralink maršrutētāji
  • SpeedStream
  • SpeedTouch
  • Telts
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / E

Jau šie maršrutētāji, kurus ietekmēja DNSChanger Js, bija šādi:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • GWR-120 maršrutētājs
  • Secutech RiS programmaparatūra
  • SMARTGATE
  • TP-Link TL-WR841N / TL-WR841ND

Visbeidzot, ierīces, kuras ietekmē galvenais modulis PyPhp DNSChanger, ir šādas:

  • AirRouter AirOS
  • Antena PQWS2401
  • C3-TECH maršrutētājs
  • Cisco maršrutētājs
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • PNRT150M maršrutētājs
  • Bezvadu N 300Mbps maršrutētājs
  • WRN150 maršrutētājs
  • WRN342 maršrutētājs
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Tenda Wireless-N platjoslas maršrutētājs
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG programmaparatūras maršrutētāji
  • ZXHN H208N
  • Zyxel VMG3312

Kā pasargāt sevi

Pirmais solis ir mainīt maršrutētāja paroli, īpaši, ja izmantojat noklusējuma kodu vai pieņemat vāju paroli. Ieteicams arī atjaunināt maršrutētāja programmaparatūru un pārbaudīt iestatījumus, ja DNS ir mainījies.

Kā iestatīt Wi-Fi maršrutētāja paroli

Ko ražotāji saka

Uzņēmums sazinājās ar Intelbras, kas nav informēts par problēmām ar saviem maršrutētājiem: "Ar šo mēs jums paziņojam, ka līdz šim mūsu 14 servisa kanālos, kas atbilst Intelbras maršrutētāju neaizsargātībai, nav reģistrēti mūsu lietotāju traumu gadījumi." Attiecībā uz drošību uzņēmums novirza patērētājus sekot līdzi aprīkojuma regulāriem atjauninājumiem: "atjaunināto programmaparatūras kontrole un pieejamība ir pieejama mūsu tīmekļa vietnē (www.intelbras.com.br/downloads)".

Multilaser arī apgalvo, ka līdz šim nav ziņots par problēmām. "Ar klientu apkalpošanas kanāliem, kas varētu būt saistīti ar notikumu, nebija klientu kontakta. Multilaser iesaka patērētājiem sazināties ar atbalstu, lai iegūtu plašāku informāciju par zīmolu ierīču atjauninājumiem un konfigurācijām."

D-Link ziņo, ka ievainojamība jau ir ziņota. Saskaņā ar nosūtīto paziņojumu uzņēmums piedāvāja risinājumu tās maršrutētāju lietotājiem. "D-Link atkārtoti uzsver, cik svarīgi ir pastāvīgi atjaunināt maršrutētāju programmaparatūru lietotājiem, kas palielina iekārtas drošību un savienojumu, " viņš piebilst.

TP-Link apgalvo, ka apzinās šo problēmu, un iesaka lietotājiem atjaunināt programmaparatūru un mainīt savu ierīču paroli. TP-Link apzinās pētījumus par maršrutētāju neaizsargātību, lai novērstu šo iespējamo ļaunprātīgu programmatūru, TP-Link iesaka sekot šādām darbībām:

  • Mainiet noklusējuma paroli uz sarežģītāku paroli, lai novērstu ielaušanās piekļūšanu maršrutētāja iestatījumiem;
  • Pārliecinieties, vai maršrutētājs izmanto jaunāko programmaparatūras versiju. Ja nē, jauniniet, lai novērstu vecāku ievainojamību izmantošanu. "

Huawei nav komentējusi, kamēr šis jautājums netika publicēts.

Via Netlab 360

Kāds ir labākais Wi-Fi maršrutētāja kanāls? Atklājiet forumā.