Zero
Oltre 100.000 i router hanno avuto le loro impostazioni DNS modificati per reindirizzare gli utenti a pagine di phishing. Il reindirizzamento avviene solo quando gli utenti tentano di accedere a e-banking pagine per banche Brasiliane.
Circa l ‘ 88% di questi router sono situati in Brasile, e la campagna è stato infuria, dal momento che almeno la metà di agosto, quando la ditta di sicurezza Radware avvistato qualcosa di strano.
Ma secondo un nuovo rapporto pubblicato la scorsa settimana dal Cinese di cyber-sicurezza ditta di Qihoo 360, il gruppo dietro a questi attacchi hanno intensificato il loro gioco.
Da analizzare enormi quantità di dati raccolti, Qihoo 360 Netlab divisione guadagnato uno sguardo profondo, il gruppo modus operandi.
CNET: non Possiamo fermare attacchi botnet da solo, dice il governo report
Secondo Netlab esperti, gli hacker sono la scansione, il Brasiliano IP spazio per i router che utilizzano debole o nessuna password, per accedere al router, e la sostituzione di legittima impostazioni DNS con l’ip del server DNS sotto il loro controllo.
Questo cambiamento reindirizza tutte le query DNS che passano attraverso il compromesso router malware DNS server, che risponde con errate informazioni per un elenco dei 52 siti.
La maggior parte di questi siti sono Brasiliana, banche e servizi di web hosting, e il reindirizzamento conduce ad una pagina di phishing che ruba vittime le credenziali per questi siti.
Vedi anche: IoT hacker costruisce Huawei a base di botnet, schiavizza i 18.000 dispositivi in un giorno
Gli aggressori fare tutto questo con l’aiuto di tre moduli, che Netlab ha chiamato Shell DNSChanger, Js DNSChanger, e PyPhp DNSChanger, tutti basati su linguaggi di programmazione in cui sono stati codificati.
Il primo modulo, Shell DNSChanger, è scritto in Conchiglia ed è una combinazione di 25 script di Shell che può brute-force la password del 21 router firmware o di pacchetti.
“Questo sub-modulo è utilizzato soltanto leggermente, con distribuzione limitata da un malintenzionato,” Netlab i ricercatori hanno detto che durante il fine settimana.
Il secondo modulo, Js DNSChanger, scritto in JavaScript, ed è una raccolta di soli 10 script JS che di forza bruta la password di sei o router firmware pacchetti.
Questo è solo distribuito già compromessa router per la scansione e la forza bruta altri router e dispositivi su reti interne.
Il terzo modulo, PyPhp DNSChanger, è scritto in una combinazione di Python e PHP, ed è il più potente di tutti e tre. Netlab dice questo modulo è stato distribuito in oltre 100 Google Cloud server, da dove gli attaccanti sono costantemente la scansione di Internet per identificare vulnerabili router.
Questo modulo utilizza 69 attacco di script in grado di “forza bruta” la password di 47 diversi router e firmware pacchetti.
TechRepublic: 6 motivi per cui abbiamo non è riuscito a fermare le botnet
Inoltre, questo modulo utilizza un exploit in grado di ignorare le procedure di autenticazione per alcuni router e modificare le impostazioni DNS. Questo particolare exploit (noto come il dnscfg.cgi vulnerabilità) è stato visto sfruttata in Brasile in un modo simile nel mese di febbraio 2015, utilizzato anche per modificare le impostazioni DNS e redirect banca Brasiliana gli utenti a siti di phishing.
Netlab i ricercatori dicono che essi sono riusciti ad accedere a questo terzo modulo admin zona, dove hanno scoperto che PyPhp DNSChanger da solo ha infettato più di 62.000 router.
Immagine: Qihoo 360
Inoltre, questo terzo modulo sembra anche utilizzare quello che sembra essere rubato Shodan API key per identificare vulnerabili router può sfruttare utilizzando il Shodan IoT motore di ricerca.
Tutto in tutti, gli operatori di questa botnet, che Netlab hanno soprannominato GhostDNS, può indirizzare più di 70 diversi tipi di router, ha già infettato oltre 100.000 router, e sono attualmente ospite pagine di phishing per oltre 70 diversi servizi (52 Url da Netlab ricercatori, più altri 19 siti di phishing sono ospitati sullo stesso phishing server, ma per il quale GhostDNS non aveva reindirizzato il traffico di sicurezza).
Netlab dice notificato interessato entità come il Brasiliano Isp circa la campagna in corso. Un elenco di Url per il quale GhostDNS è di reindirizzare il traffico verso pagine di phishing, insieme con l’elenco dei router GhostDNS è noto per essere in grado di infettare, sono disponibili in Netlab relazione, qui.
Relativi copertura:
Soddisfare Torii, un nuovo IoT botnet più sofisticati Mirai varianti diNuovo Hakai IoT botnet che prende di mira D-Link, Huawei, e Realtek routerMirai botnet autori evitare il carcere dopo “consistenti” per l’FBINuovo Virobot malware funziona come ransomware, keylogger, e botnetNuovo XBash malware combina ransomware, coinminer, botnet, e worm caratteristiche micidiale
Argomenti Correlati:
Internet delle Cose
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0