För nästan ett år, Brasiliansk användare har varit riktade med en ny typ av router-attack som inte har sett någon annanstans i världen.
Attackerna är nästan osynliga för slutanvändare och kan få katastrofala konsekvenser, med förmåga att leda till direkta ekonomiska förluster för hackad användare.
Vad som just nu händer med routrar i Brasilien bör vara en varningssignal för användare och leverantörer av internettjänster, från hela världen, som bör vidta försiktighetsåtgärder för att säkra enheter innan de attacker som observerats i sydamerikanska landet spred sig till dem.
Routerns DNS-attacker ändra
De attacker mot routrar i Brasilien startade förra sommaren och blev observerade av cyber-bevakningsföretag Radware, och en månad senare av trygghet forskare från Netlab, ett nätverk hot jakt enhet av Kinesiska it-säkerhet jätte Qihoo 360.
På den tiden, de två företagen beskrivs hur en grupp för it-brottslingar hade smittats över 100.000 hem routrar i Brasilien och var att ändra DNS-inställningar.
De ändringar som görs i dessa routrar omdirigeras infekterade användare till skadliga klon webbplatser när de försökte komma åt e-banking platser för vissa Brasilianska banker.
Liknande attacker sågs ett par månader senare, i April 2019 av hot intel fast Dålig Paket, som närmare en annan våg av attacker, men den här gången riktar sig främst mot D-Link-routrar, också värd på Brasiliansk Internetleverantörer.
Den här gången, förutom kapning användare som besöker Brasilianska banker, hackare var också omdirigera användare till en phishing-sidor för Netflix, Google, PayPal, för att samla sina referenser, enligt forskare vid Ixia.
Men enligt en rapport som publicerades av Avast denna vecka, dessa attacker har inte slutat. I själva verket, enligt företaget, i första hälften av 2019, hackare har smittat och ändrar DNS-inställningar för över 180 000 Brasilianska routrar.
Attacker blockeras av Avast på Brasiliansk routrar
Bild: Avast
Dessutom, komplexiteten av attacker har ökat, och antalet aktörer som är inblandade i attackerna verkar ha gått upp också.
Hur en router hack tar plats
Enligt Avast forskare David Jursa och Alexej Savčin, de flesta Brasilianska användare är att ha sina hem routrar hackad medan du är i sport och film streaming webbplatser, eller en vuxen portaler.
På dessa webbplatser, skadliga annonser (skadliga annonser) kör särskild kod i användarnas webbläsare för att söka och identifiera den IP-adress från en router, routern modell. När de upptäcka routerns IP och modell, de skadliga annonser och använd sedan en lista över standard användarnamn och lösenord för att logga in på användarnas enheter, utan deras vetskap.
Attackerna ta ett tag, men de flesta användare kommer inte att märka något eftersom de är oftast upptagen med att titta på strömmande video på de webbplatser de har bara tittat på.
Om attackerna är framgångsrika, ytterligare skadlig kod förmedlas genom de skadliga annonser kommer att ändra standard-DNS-inställningar på offrens routrar, byta DNS-server-IP-adresser-routrar får från uppströms Internetleverantörer med IP-adresser för DNS-servrar som hanteras av hackare.
Nästa gång användarna ” smartphone eller dator ansluter till routern, det kommer att få skadliga DNS-server IP-adresser, och på detta sätt, tratt alla DNS-förfrågningar genom angriparens servrar, vilket möjliggör för dem att stjäla och omfördela trafiken till skadliga kloner.
GhostDNS, Navidade, och SonarDNS
Per Avast undersökning hackare har med hjälp av två speciella kit för dessa attacker. Den första kallas GhostDNS, och är den som varit först sett sedan förra sommaren, och botnät som beskrivs av Radware och Netlab förra året.
En variant av GhostDNS, som kallas Navidade, som också dök upp i februari.
Per Avast, “Novidade försök att infektera Avast användare’ routrar över 2,6 miljoner gånger i februari ensam och spreds via tre kampanjer.”
Dessutom, sedan mitten av April, en annan spelare som kommit in på marknaden. Avast kallar denna nya botnet SonarDNS eftersom angriparen verkar ha åter utlovat en penetrationstester ram som heter Sonar.js som ryggraden för sin infrastruktur.
Och Sonar.js är perfekt för den router attacker. Denna JavaScript-bibliotek som normalt används av anal-testare för att identifiera och starta utnyttjar mot interna nätverk värdar, och är idealisk för att fastställa en router typ och kör bedrifter på den inriktade enheten med bara några rader kod.
Avast säger att det sett SonarDNS i tre olika kampanjer under de senaste tre månaderna, och dess modus operandi verkar vara att härma hur GhostDNS fungerar.
Annons ersätta och cryptojacking
Men DNS-kapning attacker som syftar till routrar i Brasilien har inte stått still och har också utvecklats. Förutom kapning av trafik och omdirigera användare till en phishing-sidor, hacker grupper som ligger bakom dessa attacker har även lagt till ytterligare knep för att deras arsenal.
Den första är att avlyssna trafiken och ersätta legitima annonser med reklam som drivs eller att generera vinst för angriparna.
Denna taktiken är inte ny, per se. I och med 2016, Proofpoint forskare upptäckt en exploit kit som de heter DNSChanger EK som gjorde samma sak-att ersätta legitima annonser med skadlig och kära-och är mest sannolikt inspiration för vad botnät operatörer riktade mot Brasilien gör nu.
För det andra operatörer av GhostDNS, Navidade, och SonarDNS, har också varit att distribuera webb-baserad cryptojacking skript. Denna sista taktik har också sett i Brasilien innan, förra året, när en annan grupp kapat över 200.000 Mikrotik routrar och läggas i-webbläsare cryptocurrency gruvarbetare till användarnas webbtrafik.
Risk för spridning till andra länder
Men trots allt detta, DNS-ändra attacker är de som är den farligaste av alla för slutanvändare. Detta beror på att botnät operatörerna är phishing användarnas autentiseringsuppgifter och kapning online-profiler eller stjäla pengar från användarnas konton.
Med attackerna är så lömska, som är svåra att upptäcka, och så lönsamt, det är fortfarande ett mysterium varför de inte spred sig till andra länder.
Hacka routrar är både billigt och enkelt. Men de flesta IoT botnät idag förslava dessa enheter för att utföra DDoS-attacker eller agera som ställföreträdare för dålig trafik, brute-force, eller referens fyllning attacker. Med hjälp av routrar för phishing skulle vara mycket mer lönsamt.
Användare som vill hålla dig säker mot alla IoT-botnät som mål routrar för att ändra DNS-inställningarna för att ha några alternativ till sitt förfogande:
Använda komplexa router administration passwordsKeep routrar upp till dateUse custom DNS-inställningar på sina produkter, och som hindrar enheten från OS som begär eventuellt behäftade DNS-inställningar från den lokala routern
Relaterade skadliga program och it-brottslighet täckning:
Microsoft varnar för Astaroth malware campaignRecent Windows zero-day som används av Buhtrap gänget för it-espionageHackers brutit mot Grekland top-level domain registrarNew Android-malware ersätter legitima appar med ad-angripna doppelgangersPale Moon säger hackare har lagt till skadlig kod för äldre webbläsare versionsThis nya ransomware är inriktade network attached storage devicesMalware lever i Små och medelstora företag i genomsnitt 800 dagar innan upptäckten TechRepublicRegeringen bedragare bedrägerier bara slå en all-time high, FTC, säger CNET
Relaterade Ämnen:
Sakernas Internet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter