Per quasi un anno, il Brasiliano e gli utenti sono stati presi di mira con un nuovo tipo di router attacco che non è stato visto in qualsiasi altro luogo nel mondo.
Gli attacchi sono quasi invisibili per gli utenti finali e può avere conseguenze disastrose, avendo la possibilità di portare a perdite finanziarie dirette per hacked utenti.
Ciò che sta accadendo al router in Brasile, dovrebbe essere un segnale di avvertimento per gli utenti e gli Isp di tutto il mondo, che dovrebbe prendere le precauzioni necessarie per proteggere i dispositivi prima degli attacchi osservati nel paese Sud Americano diffusione anche a loro.
Router DNS-modifica attacchi
Gli attacchi router in Brasile, iniziato la scorsa estate e sono stati osservati prima da cyber-sicurezza ditta di Radware, e un mese più tardi da ricercatori di sicurezza da Netlab, una minaccia di rete a caccia di unità di Cinese di cyber-sicurezza gigante Qihoo 360.
Al momento, le due aziende ha descritto come un gruppo di cyber-criminali ha infettato più di 100.000 router di casa in Brasile e stati di modificare le loro impostazioni DNS.
Le modifiche apportate a questi router reindirizzati gli utenti infetti dannoso clone di siti web ogni volta che hanno cercato di accedere all’e-banking, siti di alcune banche Brasiliane.
Simili attacchi sono visto un paio di mesi dopo, nell’aprile del 2018 per minaccia intel impresa di Bad Packets, che dettagliate un’altra ondata di attacchi, ma questa volta rivolto principalmente contro i router D-Link, ha ospitato anche sul Brasiliano Isp.
Questa volta, oltre al dirottamento di utenti che visitano il Brasiliano banche, gli hacker sono stati anche reindirizzare gli utenti a pagine di phishing per Netflix, Google e PayPal, per raccogliere le loro credenziali, secondo i ricercatori a Ixia.
Ma, secondo un rapporto pubblicato da Avast questa settimana, questi attacchi non hanno smesso. Infatti, secondo l’azienda, nella prima metà del 2019, gli hacker hanno infettato e modificato le impostazioni DNS di oltre 180.000 Brasiliano router.
Attacchi bloccato da Avast Brasiliani del router
Immagine: Avast
Inoltre, la complessità degli attacchi è aumentato, e il numero di attori coinvolti negli attacchi sembra essere andato bene.
Come un router hack avviene
Secondo Avast ricercatori David Jursa e Alexej Savčin, la maggior parte degli utenti Brasiliani stanno avendo il loro router di casa violato durante la visita di sport e film in streaming, siti o adulto portali.
Su questi siti, annunci dannosi (malvertising) esecuzione di codice speciale all’interno del browser degli utenti di cercare e di rilevare l’indirizzo IP di un router domestico, il modello del router. Quando rilevano l’IP del router e il modello, il annunci dannosi quindi utilizzare un elenco di predefinito nome utente e password per accedere dispositivi degli utenti, senza la loro conoscenza.
Gli attacchi a prendere un po’, ma la maggior parte degli utenti non noterà nulla, perché sono di solito occupato a guardare i flussi video su siti web che ho appena letta.
Se gli attacchi sono di successo, ulteriore codice dannoso inoltrata attraverso la dannoso ads modifica le impostazioni DNS di default sulle vittime del router, in sostituzione di indirizzi IP del server DNS router ricevere da monte Isp con gli indirizzi IP dei server DNS gestiti dagli hacker.
La prossima volta che gli utenti di smartphone o di un computer si connette al router, verrà visualizzato il dannoso indirizzi IP del server DNS, e in questo modo, imbuto tutte le richieste DNS attraverso l’attaccante del server, consentendo loro di hijack e reindirizzare il traffico dannoso cloni.
GhostDNS, Navidade, e SonarDNS
Per Avast indagine gli hacker hanno utilizzato due kit speciali per questi attacchi. Il primo è chiamato GhostDNS, ed è quello che è stato avvistato dalla scorsa estate, e la botnet descritto da Radware e Netlab l’anno scorso.
Una variante di GhostDNS, chiamato Navidade, anche apparso nel mese di febbraio.
Per Avast, “Novidade tentato di infettare Avast degli utenti router oltre 2,6 milioni di volte nel solo mese di febbraio e si è diffuso attraverso tre campagne.”
Inoltre, da metà aprile, un altro giocatore è entrata nel mercato. Avast chiama questa nuova botnet SonarDNS perché l’attaccante sembra aver ri-proposto un test di penetrazione quadro denominato Sonar.js come la spina dorsale per la loro infrastruttura.
E Sonar.js è perfetto per il router attacchi. Questa libreria JavaScript è in genere utilizzato dai collaudatori per l’identificazione e l’avvio l’exploit contro gli host della rete interna, ed è ideale per determinare un router tipo e l’esecuzione di exploit sul dispositivo di destinazione con solo poche righe di codice.
Avast dice che visto SonarDNS in tre diverse campagne, negli ultimi tre mesi, e il suo modus operandi sembra essere imitando come GhostDNS opera.
Annuncio sostituzione e cryptojacking
Ma il DNS hijacking attacchi volti a router in Brasile non hanno fermato e si sono evoluti. Oltre al dirottamento del traffico e reindirizzare gli utenti a pagine di phishing, i gruppi di hacker dietro a questi attacchi, si sono aggiunte anche ulteriori trucchi del loro arsenale.
Il primo è quello di intercettare il traffico di utenti e sostituire il legittimo annunci con la pubblicità operato o che generare profitto per gli attaccanti.
Questa tattica non è nuovo, di per sé. Nel 2016, Proofpoint ricercatori hanno notato un kit di exploit che hanno chiamato il DNSChanger EK che ha fatto la stessa cosa — sostituzione di legittima annunci con quelli pericolosi — ed è più probabile che l’ispirazione per quello che la botnet operatori destinati al Brasile stanno facendo ora.
Secondo, gli operatori di GhostDNS, Navidade, e SonarDNS, inoltre, sono stati la distribuzione basata su browser cryptojacking script. Quest’ultima tattica, che è stato visto in Brasile prima di, lo scorso anno, quando un altro gruppo dirottato oltre 200.000 Mikrotik router e aggiunto al browser cryptocurrency minatori per il traffico web degli utenti.
Pericolo di diffusione ad altri paesi
Ma nonostante tutto questo, il DNS-cambiare gli attacchi sono quelli che sono il più pericoloso di tutti, per gli utenti finali. Questo perché le botnet sono gli operatori di phishing le credenziali degli utenti, e il dirottamento di profili online o di rubare i soldi da utenti di conti bancari.
Con gli attacchi di essere così subdolo, difficile da rilevare, e in modo redditizio, è ancora un mistero il motivo per cui non si diffuse in altri paesi.
Hacking router è sia economico e facile. Tuttavia, la maggior parte IoT botnet oggi schiavizzare questi dispositivi per eseguire attacchi DDoS o agiscono come proxy per il traffico cattivo, forza bruta, o credenziali ripieno attacchi. Utilizzo di router per il phishing sarebbe il modo più redditizio.
Gli utenti che desiderano rimanere al sicuro contro qualsiasi IoT botnet che gli obiettivi di router per modificare le impostazioni DNS sono un paio di opzioni a loro disposizione:
L’uso complesso di amministrazione del router passwordsKeep router fino a dateUse personalizzato impostazioni DNS sui loro dispositivi, che impediscono il dispositivo operativo da richiedere eventualmente corrotto impostazioni DNS dal router locale
Correlati malware e attacchi informatici di copertura:
Microsoft avverte di Astaroth malware campaignRecent di Windows zero-day usata da Buhtrap gang per la cyber-espionageHackers violato la Grecia, dominio di primo livello registrarNew malware per Android che sostituisce legittimo apps con ad-infestato doppelgangersPale Luna dice hacker aggiunto malware per i vecchi browser versionsThis nuovo ransomware è il targeting network attached storage devicesMalware indugia delle Pmi per una media di 800 giorni prima della scoperta TechRepublicGoverno impostore truffe appena colpito un tempo elevato, FTC dice CNET
Argomenti Correlati:
Internet delle Cose
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati