Pomocí škodlivého kódu bylo uneseno neuvěřitelných 100 tisíc routerů, které aktuálně přesměrovávají provoz na phishingové stránky, které napodobují weby velkých bank, telekomunikačních společností, poskytovatelů připojení k internetu, médií a dokonce i Netflixu.
Tento malware (zdráháme se ho nazývat „botnetem“) byl bezpečnostní firmou pojmenován GhostDNS, a skládá se z kombinace komplexních útočných skriptů, které unášejí nastavení routeru, nahrazují je alternativní DNS službou a ta pak směřuje provoz ke „klonovaným“ přihlašovacím stránkám velkých online služeb. Služba pro přesměrování DNS je známa jako Rouge a běží dokonce i na několika významných službách pro cloudový hosting, jako jsou Amazon, OVH, Google, Telefónica a Oracle. Netlab mapuje postup infekce a její vnitřní fungování, a je v kontaktu s poskytovateli služeb, aby škodlivou síť, která funguje od poloviny června letošního roku, společně umlčeli.
Firma poskytla i detailní diagram toho, jak útok funguje (v angličtině):
Útok probíhá na čtyřech úrovních. Webový administrativní systém prochází internet a hledá zranitelná zařízení, následně přichází na řadu DNSChanger, který mění DNS, jak jeho název napovídá, a který je krytý RougeDNS, sítí DNS serverů, které následně přesměrovávají na phishingové servery, které hostují klony dobře známých a bezpečných webových stránek.
Podle citované firmy jsou zneužití prováděna formou vzdáleného přístupu a útočníci jsou schopni spouštět více než 100 útočných skriptů, působících problémy více než 70 různým typ§m routerů, jejichž DNS jsou předmětem únosu.
Velká většina (87,8 %) napadených routerů se nachází v Brazílii, zbytek pak po celé Jižní Americe.
Zdroj: Techspot.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU