tipy a návody

GhostDNS malware na směrovačích může krást data uživatelského bankovnictví

Odborníci zjistili, že GhostDNS, sofistikovaný DNS únosný systém pro krádeže dat, ovlivňuje více než 100.000 směrovačů - 87 procent z nich v Brazílii. Podle společnosti Netlab, která se specializuje na informační bezpečnost, byl malware nalezen v dalších 70 modelech, včetně značek jako TP-Link, D-Link, Intelbras, Multilaser a Huawei.

Pomocí metody phishingu je konečným cílem útoku objevit pověření důležitých stránek, jako jsou banky a velcí poskytovatelé. Netlab na 360 záznamech, které objevily podvod, Netflix brazilské URL, Santander a Citibank byly jedny z těch, které napadla GhostDNS. Dále se dozvíte vše o škodlivém softwaru a naučte se, jak se chránit.

READ: Strike ve směrovači již zasahuje tisíce domácností v Brazílii; vyhnout se

Malware GhostDNS napadá více než 100 000 směrovačů a může ukrást bankovní data

Chcete koupit mobilní telefon, TV a další slevové produkty? Poznejte srovnání

Jaký je útok?

Malware hlášený společností Netlab na 360 provádí útok známý jako DNSchange. Obecně se tento podvod pokouší odhadnout heslo směrovače na stránce s webovou konfigurací pomocí ID, která jsou standardně nastavena výrobci, jako je admin / admin, root / root, atd. Další možností je přeskočit ověřování skenováním dnscfg.cgi. S přístupem k nastavení směrovače mění malware výchozí adresu DNS - což překládá adresy URL z požadovaných stránek, například bank, do adres IP škodlivého webu.

GhostDNS je mnohem lepší verze této taktiky. To má tři verze DNSChanger, volal shell sám DNSChanger, DNSChanger, a PyPhp DNSChanger. PyPhp DNSChanger je hlavní modul mezi třemi, který byl nasazen na více než 100 serverech, většinou Google Cloud. Společně sdružují více než 100 útočných skriptů určených pro směrovače v síti Internet a intranet.

Jako by to nestačilo, v GhostDNS jsou vedle DNSChanger ještě tři další strukturální moduly. Prvním z nich je server DNS Rouge, který unese domény bank, cloudových služeb a dalších stránek se zajímavými pověřeními pro zločince. Druhý je webový phishingový systém, který bere IP adresy z ukradených domén a komunikuje s oběťmi prostřednictvím falešných stránek. Nakonec je zde webový administrační systém, na kterém odborníci stále nemají k dispozici dostatek informací o operaci.

Vývojový diagram GhostDNS podporovaný směrovačem směrovačů

Rizika útoku

Velkým rizikem útoku je to, že s únosem DNS, i když do prohlížeče zadáte správnou adresu URL své banky, může přesměrovat na adresu IP škodlivého webu. Takže i když uživatel identifikuje změny rozhraní stránky, je přesvědčen, že je v bezpečném prostředí. To zvyšuje šance na psaní v bankovních heslech, e-mailech, cloudových úložištích a dalších pověřeních, které mohou být používány kybernetickými zločinci.

Které směrovače byly ovlivněny?

V období od 21. do 27. září našel Netlab na 360 jen více než 100.000 IP adres infikovaných směrovačů. Z toho 87, 8% - nebo přibližně 87 800 - je v Brazílii. Vzhledem k variacím adresy však může být skutečné číslo mírně odlišné.

Počítadlo směrovačů GhostDNS

Ovlivněné směrovače byly infikovány různými moduly DNSChanger. V prostředí DNSChanger Shell byly identifikovány následující modely:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy Router
  • MikroTiK Routery
  • OIWTECH OIW-2415CPE
  • Ralink Routery
  • SpeedStream
  • SpeedTouch
  • Stan
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / E

Již směrovače ovlivněné DNSChanger Js byly tyto:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • Směrovač GWR-120
  • Firmware Secutech RiS
  • SMARTGATE
  • TP-Link TL-WR841N / TL-WR841ND

Konečně, zařízení ovlivněná hlavním modulem, PyPhp DNSChanger, jsou následující:

  • AirRouter AirOS
  • Anténa PQWS2401
  • Směrovač C3-TECH
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Směrovač PNRT150M
  • Bezdrátový router N 300Mbps
  • Směrovač WRN150
  • WRN342 Směrovač
  • Sapido RB-1830
  • TECHNICKÁ LAN WAR-54GS
  • Širokopásmový směrovač Tenda Wireless-N
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG firmware směrovače
  • ZXHN H208N
  • Zyxel VMG3312

Jak se chránit

Prvním krokem je změna hesla směrovače, zejména pokud používáte výchozí kód nebo přijmete slabé heslo. Doporučuje se také aktualizovat firmware směrovače a zkontrolovat nastavení, pokud se DNS změnilo.

Jak nastavit heslo směrovače Wi-Fi

Co říkají výrobci

Společnost kontaktovala společnost Intelbras, která si není vědoma žádných problémů se svými směrovači: „Tímto vám oznamujeme, že zatím nemáme žádný registrovaný případ zranění našich uživatelů prostřednictvím našich 14 servisních kanálů, které odpovídají zranitelnosti směrovačů Intelbras.“ Pokud jde o bezpečnost, společnost směřuje spotřebitele k tomu, aby drželi krok s rutinní aktualizací zařízení: „kontrola a dostupnost aktualizovaného firmwaru jsou k dispozici na našich webových stránkách (www.intelbras.com.br/downloads)“.

Multilaser také tvrdí, že dosud nebyly hlášeny žádné problémy. "Zákaznický kontakt nebyl prováděn prostřednictvím servisních kanálů, které by mohly být spojeny s událostí. Multilaser doporučuje spotřebitelům, aby se obrátili na podporu a informovali se o aktualizacích a konfiguracích zařízení značky."

D-Link hlásí, že tato chyba již byla nahlášena. Podle tohoto sdělení společnost zpřístupnila řešení uživatelům svých směrovačů. "D-Link znovu opakuje, že je důležité neustále aktualizovat firmware směrovačů uživateli, což zvyšuje bezpečnost zařízení a připojení, " dodává.

Společnost TP-Link tvrdí, že si je vědoma problému a doporučuje, aby si uživatelé udržovali aktualizovaný firmware a změnili heslo svých zařízení. Společnost TP-Link si je vědoma výzkumu týkajícího se zranitelnosti svých směrovačů jako způsobu, jak zabránit možnému škodlivému softwaru, společnost TP-Link doporučuje následující kroky:

  • Změňte výchozí heslo na složitější heslo, abyste zabránili vetřelcům v přístupu k nastavení směrovače;
  • Ujistěte se, že směrovač používá nejnovější verzi firmwaru. Pokud ne, upgrade, aby se zabránilo zneužití starších chyb zabezpečení. "

Huawei se k této otázce nevyjádřil.

Přes Netlab na 360

Jaký je nejlepší kanál Wi-Fi routeru? Objevte ve fóru.

Doporučená

Jak zachytit legendárního Mewa v Pokémon GO
jak

Jak zachytit legendárního Mewa v Pokémon GO

Xiaomi Mobile: Přečtěte si, jak přidat účet Google do společnosti Redmi
tipy a návody

Xiaomi Mobile: Přečtěte si, jak přidat účet Google do společnosti Redmi

Jak připravit počítač pro Windows 10 Fall Creators Update
jak

Jak připravit počítač pro Windows 10 Fall Creators Update

Doporučená