GhostDNS malware na směrovačích může krást data uživatelského bankovnictví
Odborníci zjistili, že GhostDNS, sofistikovaný DNS únosný systém pro krádeže dat, ovlivňuje více než 100.000 směrovačů - 87 procent z nich v Brazílii. Podle společnosti Netlab, která se specializuje na informační bezpečnost, byl malware nalezen v dalších 70 modelech, včetně značek jako TP-Link, D-Link, Intelbras, Multilaser a Huawei.
Pomocí metody phishingu je konečným cílem útoku objevit pověření důležitých stránek, jako jsou banky a velcí poskytovatelé. Netlab na 360 záznamech, které objevily podvod, Netflix brazilské URL, Santander a Citibank byly jedny z těch, které napadla GhostDNS. Dále se dozvíte vše o škodlivém softwaru a naučte se, jak se chránit.
READ: Strike ve směrovači již zasahuje tisíce domácností v Brazílii; vyhnout se
Malware GhostDNS napadá více než 100 000 směrovačů a může ukrást bankovní data
Chcete koupit mobilní telefon, TV a další slevové produkty? Poznejte srovnání
Jaký je útok?
Malware hlášený společností Netlab na 360 provádí útok známý jako DNSchange. Obecně se tento podvod pokouší odhadnout heslo směrovače na stránce s webovou konfigurací pomocí ID, která jsou standardně nastavena výrobci, jako je admin / admin, root / root, atd. Další možností je přeskočit ověřování skenováním dnscfg.cgi. S přístupem k nastavení směrovače mění malware výchozí adresu DNS - což překládá adresy URL z požadovaných stránek, například bank, do adres IP škodlivého webu.
GhostDNS je mnohem lepší verze této taktiky. To má tři verze DNSChanger, volal shell sám DNSChanger, DNSChanger, a PyPhp DNSChanger. PyPhp DNSChanger je hlavní modul mezi třemi, který byl nasazen na více než 100 serverech, většinou Google Cloud. Společně sdružují více než 100 útočných skriptů určených pro směrovače v síti Internet a intranet.
Jako by to nestačilo, v GhostDNS jsou vedle DNSChanger ještě tři další strukturální moduly. Prvním z nich je server DNS Rouge, který unese domény bank, cloudových služeb a dalších stránek se zajímavými pověřeními pro zločince. Druhý je webový phishingový systém, který bere IP adresy z ukradených domén a komunikuje s oběťmi prostřednictvím falešných stránek. Nakonec je zde webový administrační systém, na kterém odborníci stále nemají k dispozici dostatek informací o operaci.
Vývojový diagram GhostDNS podporovaný směrovačem směrovačů
Rizika útoku
Velkým rizikem útoku je to, že s únosem DNS, i když do prohlížeče zadáte správnou adresu URL své banky, může přesměrovat na adresu IP škodlivého webu. Takže i když uživatel identifikuje změny rozhraní stránky, je přesvědčen, že je v bezpečném prostředí. To zvyšuje šance na psaní v bankovních heslech, e-mailech, cloudových úložištích a dalších pověřeních, které mohou být používány kybernetickými zločinci.
Které směrovače byly ovlivněny?
V období od 21. do 27. září našel Netlab na 360 jen více než 100.000 IP adres infikovaných směrovačů. Z toho 87, 8% - nebo přibližně 87 800 - je v Brazílii. Vzhledem k variacím adresy však může být skutečné číslo mírně odlišné.
Počítadlo směrovačů GhostDNS
Ovlivněné směrovače byly infikovány různými moduly DNSChanger. V prostředí DNSChanger Shell byly identifikovány následující modely:
- 3COM OCR-812
- AP-ROUTER
- D-LINK
- D-LINK DSL-2640T
- D-LINK DSL-2740R
- D-LINK DSL-500
- D-LINK DSL-500G / DSL-502G
- Huawei SmartAX MT880a
- Intelbras WRN240-1
- Kaiomy Router
- MikroTiK Routery
- OIWTECH OIW-2415CPE
- Ralink Routery
- SpeedStream
- SpeedTouch
- Stan
- TP-LINK TD-W8901G / TD-W8961ND / TD-8816
- TP-LINK TD-W8960N
- TP-LINK TL-WR740N
- TRIZ TZ5500E / VIKING
- VIKING / DSLINK 200 U / E
Již směrovače ovlivněné DNSChanger Js byly tyto:
- A-Link WL54AP3 / WL54AP2
- D-Link DIR-905L
- Směrovač GWR-120
- Firmware Secutech RiS
- SMARTGATE
- TP-Link TL-WR841N / TL-WR841ND
Konečně, zařízení ovlivněná hlavním modulem, PyPhp DNSChanger, jsou následující:
- AirRouter AirOS
- Anténa PQWS2401
- Směrovač C3-TECH
- Cisco Router
- D-Link DIR-600
- D-Link DIR-610
- D-Link DIR-615
- D-Link DIR-905L
- D-Link ShareCenter
- Elsys CPE-2n
- Fiberhome
- Fiberhome AN5506-02-B
- Fiberlink 101
- GPON ONU
- Greatek
- GWR 120
- Huawei
- Intelbras WRN 150
- Intelbras WRN 240
- Intelbras WRN 300
- LINKONE
- MikroTik
- Multilaser
- OIWTECH
- PFTP-WR300
- QBR-1041 WU
- Směrovač PNRT150M
- Bezdrátový router N 300Mbps
- Směrovač WRN150
- WRN342 Směrovač
- Sapido RB-1830
- TECHNICKÁ LAN WAR-54GS
- Širokopásmový směrovač Tenda Wireless-N
- Thomson
- TP-Link Archer C7
- TP-Link TL-WR1043ND
- TP-Link TL-WR720N
- TP-Link TL-WR740N
- TP-Link TL-WR749N
- TP-Link TL-WR840N
- TP-Link TL-WR841N
- TP-Link TL-WR845N
- TP-Link TL-WR849N
- TP-Link TL-WR941ND
- Wive-NG firmware směrovače
- ZXHN H208N
- Zyxel VMG3312
Jak se chránit
Prvním krokem je změna hesla směrovače, zejména pokud používáte výchozí kód nebo přijmete slabé heslo. Doporučuje se také aktualizovat firmware směrovače a zkontrolovat nastavení, pokud se DNS změnilo.
Jak nastavit heslo směrovače Wi-Fi
Co říkají výrobci
Společnost kontaktovala společnost Intelbras, která si není vědoma žádných problémů se svými směrovači: „Tímto vám oznamujeme, že zatím nemáme žádný registrovaný případ zranění našich uživatelů prostřednictvím našich 14 servisních kanálů, které odpovídají zranitelnosti směrovačů Intelbras.“ Pokud jde o bezpečnost, společnost směřuje spotřebitele k tomu, aby drželi krok s rutinní aktualizací zařízení: „kontrola a dostupnost aktualizovaného firmwaru jsou k dispozici na našich webových stránkách (www.intelbras.com.br/downloads)“.
Multilaser také tvrdí, že dosud nebyly hlášeny žádné problémy. "Zákaznický kontakt nebyl prováděn prostřednictvím servisních kanálů, které by mohly být spojeny s událostí. Multilaser doporučuje spotřebitelům, aby se obrátili na podporu a informovali se o aktualizacích a konfiguracích zařízení značky."
D-Link hlásí, že tato chyba již byla nahlášena. Podle tohoto sdělení společnost zpřístupnila řešení uživatelům svých směrovačů. "D-Link znovu opakuje, že je důležité neustále aktualizovat firmware směrovačů uživateli, což zvyšuje bezpečnost zařízení a připojení, " dodává.
Společnost TP-Link tvrdí, že si je vědoma problému a doporučuje, aby si uživatelé udržovali aktualizovaný firmware a změnili heslo svých zařízení. Společnost TP-Link si je vědoma výzkumu týkajícího se zranitelnosti svých směrovačů jako způsobu, jak zabránit možnému škodlivému softwaru, společnost TP-Link doporučuje následující kroky:
- Změňte výchozí heslo na složitější heslo, abyste zabránili vetřelcům v přístupu k nastavení směrovače;
- Ujistěte se, že směrovač používá nejnovější verzi firmwaru. Pokud ne, upgrade, aby se zabránilo zneužití starších chyb zabezpečení. "
Huawei se k této otázce nevyjádřil.
Přes Netlab na 360
Jaký je nejlepší kanál Wi-Fi routeru? Objevte ve fóru.