A routereken található GhostDNS kártevők ellophatják a felhasználói banki adatokat

A szakértők felfedezték, hogy a GhostDNS, egy kifinomult DNS-eltérítési rendszer az adatok lopására, több mint 100 000 útválasztót érinti - 87% -uk Brazíliában. A Netlab, az információbiztonságra szakosodott vállalat szerint 70 más modellben találtak malware-eket, köztük többek között a TP-Link, a D-Link, az Intelbras, a Multilaser és a Huawei márkák.

Az adathalászat módszerével a támadás végső célja az, hogy felfedezze a fontos helyek, például bankok és nagy szolgáltatók hitelesítő adatait. A Netlab 360 rekordnál, amely felfedezte az átverést, a Netflix brazil URL-je, Santander és a Citibank voltak a GhostDNS által megtámadottak. Ezután tanuljon meg minden rosszindulatú programról és megtudja, hogyan védheti meg magát.

READ: A routerben a Strike már eléri a több ezer otthont Brazíliában; elkerülése

A Malware GhostDNS több mint 100 000 útválasztót támad, és ellophatja a banki adatokat

Akar vásárolni mobiltelefon, TV és egyéb kedvezményes termékek? Ismerje meg az összehasonlítást

Mi a támadás?

A Netlab által 360-ban jelentett rosszindulatú program DNS-változatként ismert támadást végez. Általában ez az átverés megpróbálja kitalálni az útválasztó jelszavát a webkonfigurációs oldalon az olyan azonosítók használatával, amelyeket az alapértelmezés szerint a gyártók, például az admin / admin, a root / root stb. Egy másik mód az, hogy átugorja a hitelesítést a dnscfg.cgi beolvasásával. Az útválasztó beállításainak elérésével a rosszindulatú webhelyek IP-jét a rosszindulatú szoftver megváltoztatja az alapértelmezett DNS-címet, amely az URL-eket kívánatos webhelyekről, például bankokról lefordítja.

A GhostDNS a taktika sokkal jobb verziója. Három változata van a DNSChanger-nek, amelyet magában a DNSChanger, a DNSChanger és a PyPhp DNSChanger hívnak. A PyPhp DNSChanger a három fő modul, amely több mint 100 szerverre, főként a Google Cloudra telepített. Együtt több mint 100 támadási szkriptet hoznak létre, amelyeket az internet és az intranet hálózatok útválasztóinak szánnak.

Mintha ez nem lenne elegendő, a GhostDNS-ben még három további strukturális modul létezik, a DNSChanger mellett. Az első a Rouge DNS-kiszolgáló, amely a bankok, a felhőszolgáltatások és a bűnözők számára érdekes hitelesítő adatokkal rendelkező egyéb webhelyek tartományait leküzdi. A második a webes adathalász-rendszer, amely az ellopott domainek IP-címét veszi át, és hamis oldalakon keresztül kommunikál az áldozatokkal. Végül van egy webes adminisztrációs rendszer, amelyen a szakértők még mindig kevés információval rendelkeznek a műveletről.

GhostDNS által támogatott támadási folyamatábra az útválasztókhoz

A támadás kockázatai

A támadás nagy kockázata az, hogy a DNS-eltérítés esetén, még akkor is, ha a böngészőbe beírja a bank megfelelő URL-címét, átirányíthatja a rosszindulatú webhely IP-jét. Tehát még akkor is, ha a felhasználó azonosítja az oldal interfészének változásait, úgy gondolja, hogy biztonságos környezetben van. Ez növeli a banki jelszavak, e-mailek, felhőadat-tárolási szolgáltatások és más, a számítógépes bűnözők által használható hitelesítő adatok beírásának esélyeit.

Melyik útválasztókat érinti?

A szeptember 21-től 27-ig terjedő időszakban a Netlab 360-nál több mint 100 000 IP-címet talált a fertőzött útválasztóknak. Ebből 87, 8% - vagy 87, 800 - Brazíliában van. A címváltozások miatt azonban a tényleges szám kissé eltérő lehet.

GhostDNS fertőzött router számláló

Az érintett útválasztók különböző DNSChanger modulokkal fertőződtek meg. A DNSChanger Shellben az alábbi modelleket azonosították:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy útválasztó
  • MikroTiK routerek
  • OIWTECH OIW-2415CPE
  • Ralink routerek
  • SpeedStream
  • SpeedTouch
  • sátor
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / E

Már a DNSChanger Js által érintett útválasztók voltak:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • GWR-120 Router
  • Secutech RiS firmware
  • SmartGate
  • TP-Link TL-WR841N / TL-WR841ND

Végül a fő modul, a PyPhp DNSChanger által érintett eszközök a következők:

  • AirRouter AirOS
  • Antenna PQWS2401
  • C3-TECH router
  • Cisco útválasztó
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • FiberHome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • MULTILASER
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • PNRT150M router
  • Vezeték nélküli N 300Mbps Router
  • WRN150 Router
  • WRN342 Router
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Tenda Wireless-N szélessávú útválasztó
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG firmware routerek
  • ZXHN H208N
  • Zyxel VMG3312

Hogyan védheti meg magát

Az első lépés az útválasztó jelszavának megváltoztatása, különösen, ha az alapértelmezett kódot használja vagy gyenge jelszót használ. Azt is javasoljuk, hogy frissítse az útválasztó firmware-jét, és ellenőrizze a beállításokat, ha a DNS megváltozott.

A Wi-Fi útválasztó jelszavának beállítása

Amit a gyártók mondanak

A vállalat kapcsolatba lépett az Intelbras-szal, amely nem ismeri az útválasztókkal kapcsolatos problémákat: "Ezennel tájékoztatjuk Önt arról, hogy eddig nincs regisztrált esetünk sérülésének a 14 szervizcsatornánkon keresztül, amelyek megfelelnek az Intelbras útválasztók sebezhetőségének." A biztonságot illetően a vállalat irányítja a fogyasztókat, hogy lépést tartsanak a berendezések rutinszerű frissítésével: "a frissített firmware ellenőrzése és elérhetősége megtalálható honlapunkon (www.intelbras.com.br/downloads)".

A Multilaser azt is állítja, hogy eddig nincsenek jelentett problémák. "A rendezvényhez csatlakoztatható szolgáltatási csatornákon keresztül nem érkezett kapcsolat az ügyfél számára. A Multilaser tanácsot ad a fogyasztóknak a márkájú eszközök frissítéseivel és konfigurációival kapcsolatos további információkért."

A D-Link jelentése szerint a biztonsági rést már jelentették. A megküldött nyilatkozat szerint a vállalat elérhetővé tette a megoldást az útválasztók felhasználói számára. "A D-Link megismétli, hogy fontos, hogy a felhasználók folyamatosan frissítsék az útválasztók firmware-jét, ami növeli a berendezés és a kapcsolat biztonságát" - tette hozzá.

A TP-Link azt állítja, hogy tisztában van a problémával, és azt javasolja, hogy a felhasználók naprakészen tartsák a firmware-t, és módosítsák az eszközök jelszavát. A TP-Link tisztában van az útválasztók sebezhetőségével kapcsolatos kutatásokkal, hogy megakadályozza ezt a lehetséges malware-t, a TP-Link a következő lépéseket javasolja:

  • Módosítsa az alapértelmezett jelszót egy összetettebb jelszóra, hogy megakadályozza a behatolók hozzáférését az útválasztó beállításaihoz;
  • Győződjön meg arról, hogy az útválasztó a legújabb firmware-verziót használja. Ha nem, frissítsen, hogy megelőzze a régebbi sérülékenységek kiaknázását. "

A Huawei addig nem nyilatkozott, amíg ezt a problémát közzétették.

A Netlab 360-on keresztül

Mi a legjobb Wi-Fi router csatorna? Fedezze fel a fórumban.