Nul
Meer dan 100.000 routers hebben hun DNS-instellingen zijn gewijzigd om gebruikers om te leiden naar phishing-pagina ‘ s. De omleiding gebeurt alleen wanneer gebruikers toegang proberen te krijgen tot e-bankieren pagina ‘ s voor Braziliaanse banken.
Ongeveer 88% van deze routers bevinden zich in Brazilië, en de campagne is een woedt sinds half augustus, wanneer de veiligheid in het bedrijf Radware voor het eerst gespot iets vreemds.
Maar volgens een nieuw rapport gepubliceerd vorige week door de Chinese cyber-security bedrijf Qihoo 360, de groep achter deze aanslagen hebben aangescherpt hun spel.
Door het analyseren van massale hoeveelheden gegevens verzameld, Qihoo 360 Netlab divisie kreeg een diepe blik in de groep van de modus operandi.
CNET: We kunnen niet stoppen met botnet-aanvallen alleen, zegt ONS een rapport van de regering
Volgens Netlab deskundigen, de hackers zijn het scannen van de Braziliaanse IP-ruimte voor routers die gebruik maken van zwakke of geen wachtwoorden, toegang tot de routers’ instellingen, en het vervangen van legitieme de DNS-instellingen met de ip-adressen van DNS-servers die onder hun controle.
Deze wijziging leidt het al DNS-query ‘ s die passeren via de besmette routers om de kwaadaardige DNS-servers, die reageren met onjuiste info voor een lijst van 52 sites.
De meeste van deze sites zijn Braziliaanse banken en web hosting diensten, en de omleiding leidt terug naar een phishing pagina die steelt van de slachtoffers referenties voor deze sites.
Zie ook: IoT hacker bouwt Huawei op basis van een botnet, verslaaft van 18.000 apparaten in één dag
Aanvallers doen dit alles met de hulp van drie modules, die Netlab heet Shell DNSChanger, Js DNSChanger, en PyPhp DNSChanger, alle gebaseerd op de talen waarin ze zijn gecodeerd.
De eerste module, Shell DNSChanger, is geschreven in de dop en is een combinatie van 25 Shell-scripts die u kunt brute-force de wachtwoorden van 21 routers of firmware pakketten.
“Dit sub-module wordt alleen gebruikt licht, met een beperkte distributie door een aanvaller,” Netlab onderzoekers zeiden dat over het weekend.
De tweede module, Js DNSChanger, is geschreven in JavaScript, en is een verzameling van alleen 10 JS scripts die u kunt brute-force de wachtwoorden van zes routers of firmware pakketten.
Deze wordt alleen ingezet op de reeds besmette routers te scannen en te brute-force andere routers en apparaten op interne netwerken.
De derde module, PyPhp DNSChanger, is geschreven in een combinatie van Python en PHP, en is de meest krachtige van alle drie. Netlab zegt deze module is geïmplementeerd bij meer dan 100 Google Cloud servers, vanaf waar de aanvallers zijn voortdurend scannen van het Internet te identificeren van kwetsbare routers.
Deze module maakt gebruik van 69 aanval scripts die u kunt brute-force de wachtwoorden van 47 verschillende routers en firmware pakketten.
TechRepublic: De 6 redenen waarom we er niet in geslaagd om te stoppen met botnets
Bovendien, deze module maakt ook gebruik van een exploit kan een bypass-authenticatie procedures voor sommige routers en wijzigen van de DNS-instellingen. Deze specifieke exploit (bekend als de dnscfg.cgi kwetsbaarheid) is gezien uitgebuit in Brazilië op een soortgelijke manier in februari 2015, ook gebruikt voor het veranderen van de DNS-instellingen en redirect Braziliaanse bank gebruikers naar phishing-sites.
Netlab onderzoekers zeggen dat ze zijn erin geslaagd om toegang te krijgen tot deze derde module admin het gebied, waar ze ontdekt dat PyPhp DNSChanger alleen was besmet dan 62,000 routers op zichzelf.
Afbeelding: Qihoo 360
Daarnaast is deze derde module lijkt ook gebruik maken van wat lijkt te zijn gestolen Shodan API sleutel tot het identificeren van kwetsbare routers kunnen maken met behulp van de Shodan IoT zoekmachine.
Al met al, de exploitanten van deze botnet, dat Netlab bijgenaamd GhostDNS, kan het slachtoffer meer dan 70 verschillende soorten routers hebben al besmet dan 100,000 routers, en zijn op dit moment host phishing-pagina ‘s voor meer dan 70 verschillende diensten (52 Url’ s gevonden door Netlab onderzoekers, plus nog 19 phishing-sites die gehost wordt op dezelfde phishing-servers, maar voor die GhostDNS had niet omgeleid verkeer naar nog).
Netlab zegt het aangemelde betrokken instanties zoals de Braziliaanse Isp ‘ s over de lopende campagne. Een lijst van Url ‘s voor die GhostDNS is het omleiden van het verkeer naar phishing-pagina’ s, samen met de lijst van routers GhostDNS is bekend te kunnen infecteren, zijn beschikbaar in het Netlab het verslag hier.
Verwante dekking:
Aan Torii, een nieuwe IoT botnet veel meer verfijnd dan Mirai variantenNieuwe Hakai IoT botnet neemt gericht op de D-Link, Huawei, en Realtek routersMirai botnet auteurs vermijden gevangenis na “substantiële bijstand” van de FBINieuwe Virobot malware werkt als ransomware, keylogger, en botnetNieuwe XBash malware combineert ransomware, coinminer, botnet, en worm functies in dodelijke combo
Verwante Onderwerpen:
Het Internet van Dingen
Beveiliging TV
Data Management
CXO
Datacenters
0