tipy a návody

GhostDNS malware na routeroch môže ukradnúť dáta používateľského bankovníctva

Odborníci zistili, že GhostDNS, sofistikovaný únosový systém DNS na krádež dát, ovplyvňuje viac ako 100 000 smerovačov - 87 percent z nich v Brazílii. Podľa spoločnosti Netlab, ktorá sa špecializuje na bezpečnosť informácií, malware sa našiel v ďalších 70 modeloch, vrátane značiek ako TP-Link, D-Link, Intelbras, Multilaser a Huawei.

Pomocou metódy phishingu je konečným cieľom útoku nájsť poverenia dôležitých lokalít, ako sú banky a veľkí poskytovatelia. Netlab na 360 záznamoch, ktoré objavili podvod, Netflix brazílske URL, Santander a Citibank boli niektoré z tých, ktoré napadli GhostDNS. Ďalej sa dozviete viac o malwaru a naučte sa, ako sa chrániť.

READ: Strike v smerovači už dosiahne tisíce domácností v Brazílii; vyhnúť sa

Malware GhostDNS infestuje viac ako 100 000 smerovačov a môže ukradnúť bankové údaje

Chcete si kúpiť mobilný telefón, televíziu a ďalšie zľavnené produkty? Poznaj porovnanie

Aký je útok?

Malware hlásený spoločnosťou Netlab na adrese 360 ​​vykonal útok známy ako DNSchange. Všeobecne sa tento podvod pokúša odhadnúť heslo smerovača na webovej konfiguračnej stránke pomocou ID nastavených štandardne výrobcami, ako sú admin / admin, root / root, atď. Ďalším spôsobom je preskočenie autentifikácie skenovaním dnscfg.cgi. S prístupom k nastaveniam smerovača sa škodlivý softvér zmení na predvolenú adresu DNS - ktorá prekladá adresy URL z požadovaných lokalít, napríklad bánk, na škodlivé webové lokality.

GhostDNS je oveľa lepšia verzia tejto taktiky. Má tri verzie DNSChanger, ktoré sa nazývajú samotný shell DNSChanger, DNSChanger a PyPhp DNSChanger. PyPhp DNSChanger je hlavným modulom medzi tromi, ktorý bol nasadený na viac ako 100 serveroch, väčšinou Google Cloud. Spolu zhromažďujú viac ako 100 útokových skriptov určených pre smerovače v sieťach internetu a intranetu.

Akoby to nestačilo, navyše k DNSChangeru existujú ešte tri moduly GhostDNS. Prvým je server Rouge DNS, ktorý zneužíva domény bánk, cloudových služieb a ďalších stránok so zaujímavými povereniami pre zločincov. Druhým je webový phishingový systém, ktorý odoberá IP adresy z ukradnutých domén a komunikuje s obeťami prostredníctvom falošných stránok. Nakoniec existuje systém správy webových stránok, na ktorom odborníci stále majú málo informácií o operácii.

GhostDNS-podporovaný vývojový diagram útokov smerovačov

Riziká útoku

Veľké riziko útoku spočíva v tom, že s únosom DNS, aj keď zadáte správnu adresu URL svojej banky v prehliadači, môže presmerovať na adresu IP škodlivého webu. Takže aj keď používateľ identifikuje zmeny v rozhraní stránky, je presvedčený, že je v bezpečnom prostredí. To zvyšuje šance na písanie bankových hesiel, e-mailov, služieb pre ukladanie dát v cloude a iných poverení, ktoré môžu používať kybernetickí kriminálnici.

Ktoré smerovače boli ovplyvnené?

V období od 21. do 27. septembra Netlab na 360 našiel len viac ako 100 000 IP adries infikovaných smerovačov. Z nich 87, 8% - alebo približne 87, 800 - je v Brazílii. V dôsledku zmien v adrese však môže byť skutočné číslo trochu iné.

Počítadlo infikovaných smerovačov GhostDNS

Ovplyvnené smerovače boli infikované rôznymi modulmi DNSChanger. V DNSChanger Shell boli identifikované nasledujúce modely:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy Router
  • MikroTiK smerovače
  • OIWTECH OIW-2415CPE
  • Ralink Routery
  • SpeedStream
  • SpeedTouch
  • stan
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / E

Routery, ktorých sa DNSChanger Js týkajú, boli už tieto:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • Router GWR-120
  • Secutech RiS Firmware
  • SmartGate
  • TP-Link TL-WR841N / TL-WR841ND

A nakoniec, zariadenia ovplyvnené hlavným modulom PyPhp DNSChanger sú nasledovné:

  • AirRouter AirOS
  • Anténa PQWS2401
  • Router C3-TECH
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • FiberHome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Router PNRT150M
  • Bezdrôtový smerovač N 300Mbps
  • Router WRN150
  • Router WRN342
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Tenda Wireless-N širokopásmový smerovač
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Smerovače Wive-NG
  • ZXHN H208N
  • Zyxel VMG3312

Ako sa chrániť

Prvým krokom je zmena hesla smerovača, najmä ak použijete predvolený kód alebo prijmete slabé heslo. Odporúča sa tiež aktualizovať firmvér smerovača a skontrolovať nastavenia, ak sa zmenil DNS.

Ako nastaviť heslo smerovača Wi-Fi

Čo hovoria výrobcovia

Spoločnosť sa obrátila na spoločnosť Intelbras, ktorá si neuvedomuje žiadne problémy so svojimi smerovačmi: "Týmto informujeme, že sme doteraz neregistrovali žiadne zranenie našich používateľov prostredníctvom našich 14 kanálov služieb zodpovedajúcich zraniteľnosti smerovačov Intelbras." Pokiaľ ide o bezpečnosť, spoločnosť smeruje spotrebiteľov k tomu, aby držali krok s bežnou aktualizáciou zariadení: "kontrola a dostupnosť aktualizovaného firmvéru sú k dispozícii na našej webovej stránke (www.intelbras.com.br/downloads)".

Spoločnosť Multilaser tiež tvrdí, že doteraz neboli hlásené žiadne problémy. "Neexistoval žiadny kontakt so zákazníkom prostredníctvom kanálov služieb, ktoré by mohli byť spojené s udalosťou. Spoločnosť Multilaser radí spotrebiteľom, aby kontaktovali podporu pre viac informácií o aktualizáciách a konfiguráciách zariadení značky."

D-Link hlási, že zraniteľnosť už bola oznámená. Podľa vyhlásenia spoločnosti spoločnosť poskytla riešenie používateľom svojich smerovačov. "Spoločnosť D-Link opätovne zdôrazňuje dôležitosť neustálej aktualizácie firmvéru smerovačov používateľmi, čo zvyšuje bezpečnosť zariadení a pripojenie, " dodáva.

Spoločnosť TP-Link tvrdí, že si je vedomá tohto problému, a odporúča, aby používatelia aktualizovali firmvér a zmenili heslo pre svoje zariadenia. Spoločnosť TP-Link si uvedomuje výskum týkajúci sa zraniteľnosti svojich smerovačov ako spôsobu prevencie tohto možného malware, odporúča TP-Link nasledovné kroky:

  • Zmeňte predvolené heslo na zložitejšie heslo, aby ste zabránili prístupu útočníkov k nastaveniam smerovača.
  • Skontrolujte, či váš smerovač používa najnovšiu verziu firmvéru. Ak nie, aktualizujte, aby ste zabránili zneužitiu starších zraniteľností. "

Huawei sa nezúčastnil, kým nebol uverejnený tento problém.

Via Netlab na 360

Aký je najlepší kanál smerovača Wi-Fi? Objavte vo fóre.

Odporúčaná

Ako zobraziť fotografie a videá z príbehov Facebook v počítači pomocou prehliadača Chrome
ako

Ako zobraziť fotografie a videá z príbehov Facebook v počítači pomocou prehliadača Chrome

Pozrite si požiadavky na League of Legends a naučte sa, ako nastaviť grafiku
tipy a návody

Pozrite si požiadavky na League of Legends a naučte sa, ako nastaviť grafiku

Ako vytvoriť MacOS High Sierra inštaláciu pendrive
ako

Ako vytvoriť MacOS High Sierra inštaláciu pendrive

Odporúčaná