GhostDNS malware na routeroch môže ukradnúť dáta používateľského bankovníctva
Odborníci zistili, že GhostDNS, sofistikovaný únosový systém DNS na krádež dát, ovplyvňuje viac ako 100 000 smerovačov - 87 percent z nich v Brazílii. Podľa spoločnosti Netlab, ktorá sa špecializuje na bezpečnosť informácií, malware sa našiel v ďalších 70 modeloch, vrátane značiek ako TP-Link, D-Link, Intelbras, Multilaser a Huawei.
Pomocou metódy phishingu je konečným cieľom útoku nájsť poverenia dôležitých lokalít, ako sú banky a veľkí poskytovatelia. Netlab na 360 záznamoch, ktoré objavili podvod, Netflix brazílske URL, Santander a Citibank boli niektoré z tých, ktoré napadli GhostDNS. Ďalej sa dozviete viac o malwaru a naučte sa, ako sa chrániť.
READ: Strike v smerovači už dosiahne tisíce domácností v Brazílii; vyhnúť sa
Malware GhostDNS infestuje viac ako 100 000 smerovačov a môže ukradnúť bankové údaje
Chcete si kúpiť mobilný telefón, televíziu a ďalšie zľavnené produkty? Poznaj porovnanie
Aký je útok?
Malware hlásený spoločnosťou Netlab na adrese 360 vykonal útok známy ako DNSchange. Všeobecne sa tento podvod pokúša odhadnúť heslo smerovača na webovej konfiguračnej stránke pomocou ID nastavených štandardne výrobcami, ako sú admin / admin, root / root, atď. Ďalším spôsobom je preskočenie autentifikácie skenovaním dnscfg.cgi. S prístupom k nastaveniam smerovača sa škodlivý softvér zmení na predvolenú adresu DNS - ktorá prekladá adresy URL z požadovaných lokalít, napríklad bánk, na škodlivé webové lokality.
GhostDNS je oveľa lepšia verzia tejto taktiky. Má tri verzie DNSChanger, ktoré sa nazývajú samotný shell DNSChanger, DNSChanger a PyPhp DNSChanger. PyPhp DNSChanger je hlavným modulom medzi tromi, ktorý bol nasadený na viac ako 100 serveroch, väčšinou Google Cloud. Spolu zhromažďujú viac ako 100 útokových skriptov určených pre smerovače v sieťach internetu a intranetu.
Akoby to nestačilo, navyše k DNSChangeru existujú ešte tri moduly GhostDNS. Prvým je server Rouge DNS, ktorý zneužíva domény bánk, cloudových služieb a ďalších stránok so zaujímavými povereniami pre zločincov. Druhým je webový phishingový systém, ktorý odoberá IP adresy z ukradnutých domén a komunikuje s obeťami prostredníctvom falošných stránok. Nakoniec existuje systém správy webových stránok, na ktorom odborníci stále majú málo informácií o operácii.
GhostDNS-podporovaný vývojový diagram útokov smerovačov
Riziká útoku
Veľké riziko útoku spočíva v tom, že s únosom DNS, aj keď zadáte správnu adresu URL svojej banky v prehliadači, môže presmerovať na adresu IP škodlivého webu. Takže aj keď používateľ identifikuje zmeny v rozhraní stránky, je presvedčený, že je v bezpečnom prostredí. To zvyšuje šance na písanie bankových hesiel, e-mailov, služieb pre ukladanie dát v cloude a iných poverení, ktoré môžu používať kybernetickí kriminálnici.
Ktoré smerovače boli ovplyvnené?
V období od 21. do 27. septembra Netlab na 360 našiel len viac ako 100 000 IP adries infikovaných smerovačov. Z nich 87, 8% - alebo približne 87, 800 - je v Brazílii. V dôsledku zmien v adrese však môže byť skutočné číslo trochu iné.
Počítadlo infikovaných smerovačov GhostDNS
Ovplyvnené smerovače boli infikované rôznymi modulmi DNSChanger. V DNSChanger Shell boli identifikované nasledujúce modely:
- 3COM OCR-812
- AP-ROUTER
- D-LINK
- D-LINK DSL-2640T
- D-LINK DSL-2740R
- D-LINK DSL-500
- D-LINK DSL-500G / DSL-502G
- Huawei SmartAX MT880a
- Intelbras WRN240-1
- Kaiomy Router
- MikroTiK smerovače
- OIWTECH OIW-2415CPE
- Ralink Routery
- SpeedStream
- SpeedTouch
- stan
- TP-LINK TD-W8901G / TD-W8961ND / TD-8816
- TP-LINK TD-W8960N
- TP-LINK TL-WR740N
- TRIZ TZ5500E / VIKING
- VIKING / DSLINK 200 U / E
Routery, ktorých sa DNSChanger Js týkajú, boli už tieto:
- A-Link WL54AP3 / WL54AP2
- D-Link DIR-905L
- Router GWR-120
- Secutech RiS Firmware
- SmartGate
- TP-Link TL-WR841N / TL-WR841ND
A nakoniec, zariadenia ovplyvnené hlavným modulom PyPhp DNSChanger sú nasledovné:
- AirRouter AirOS
- Anténa PQWS2401
- Router C3-TECH
- Cisco Router
- D-Link DIR-600
- D-Link DIR-610
- D-Link DIR-615
- D-Link DIR-905L
- D-Link ShareCenter
- Elsys CPE-2n
- FiberHome
- Fiberhome AN5506-02-B
- Fiberlink 101
- GPON ONU
- Greatek
- GWR 120
- Huawei
- Intelbras WRN 150
- Intelbras WRN 240
- Intelbras WRN 300
- LINKONE
- MikroTik
- Multilaser
- OIWTECH
- PFTP-WR300
- QBR-1041 WU
- Router PNRT150M
- Bezdrôtový smerovač N 300Mbps
- Router WRN150
- Router WRN342
- Sapido RB-1830
- TECHNIC LAN WAR-54GS
- Tenda Wireless-N širokopásmový smerovač
- Thomson
- TP-Link Archer C7
- TP-Link TL-WR1043ND
- TP-Link TL-WR720N
- TP-Link TL-WR740N
- TP-Link TL-WR749N
- TP-Link TL-WR840N
- TP-Link TL-WR841N
- TP-Link TL-WR845N
- TP-Link TL-WR849N
- TP-Link TL-WR941ND
- Smerovače Wive-NG
- ZXHN H208N
- Zyxel VMG3312
Ako sa chrániť
Prvým krokom je zmena hesla smerovača, najmä ak použijete predvolený kód alebo prijmete slabé heslo. Odporúča sa tiež aktualizovať firmvér smerovača a skontrolovať nastavenia, ak sa zmenil DNS.
Ako nastaviť heslo smerovača Wi-Fi
Čo hovoria výrobcovia
Spoločnosť sa obrátila na spoločnosť Intelbras, ktorá si neuvedomuje žiadne problémy so svojimi smerovačmi: "Týmto informujeme, že sme doteraz neregistrovali žiadne zranenie našich používateľov prostredníctvom našich 14 kanálov služieb zodpovedajúcich zraniteľnosti smerovačov Intelbras." Pokiaľ ide o bezpečnosť, spoločnosť smeruje spotrebiteľov k tomu, aby držali krok s bežnou aktualizáciou zariadení: "kontrola a dostupnosť aktualizovaného firmvéru sú k dispozícii na našej webovej stránke (www.intelbras.com.br/downloads)".
Spoločnosť Multilaser tiež tvrdí, že doteraz neboli hlásené žiadne problémy. "Neexistoval žiadny kontakt so zákazníkom prostredníctvom kanálov služieb, ktoré by mohli byť spojené s udalosťou. Spoločnosť Multilaser radí spotrebiteľom, aby kontaktovali podporu pre viac informácií o aktualizáciách a konfiguráciách zariadení značky."
D-Link hlási, že zraniteľnosť už bola oznámená. Podľa vyhlásenia spoločnosti spoločnosť poskytla riešenie používateľom svojich smerovačov. "Spoločnosť D-Link opätovne zdôrazňuje dôležitosť neustálej aktualizácie firmvéru smerovačov používateľmi, čo zvyšuje bezpečnosť zariadení a pripojenie, " dodáva.
Spoločnosť TP-Link tvrdí, že si je vedomá tohto problému, a odporúča, aby používatelia aktualizovali firmvér a zmenili heslo pre svoje zariadenia. Spoločnosť TP-Link si uvedomuje výskum týkajúci sa zraniteľnosti svojich smerovačov ako spôsobu prevencie tohto možného malware, odporúča TP-Link nasledovné kroky:
- Zmeňte predvolené heslo na zložitejšie heslo, aby ste zabránili prístupu útočníkov k nastaveniam smerovača.
- Skontrolujte, či váš smerovač používa najnovšiu verziu firmvéru. Ak nie, aktualizujte, aby ste zabránili zneužitiu starších zraniteľností. "
Huawei sa nezúčastnil, kým nebol uverejnený tento problém.
Via Netlab na 360
Aký je najlepší kanál smerovača Wi-Fi? Objavte vo fóre.