GhostDNS劫持10萬臺路由器 流量被導向釣魚網站

Netlab 安全研究人員，剛剛曝光了一款惡意軟體。它經由網際網路路由器大肆傳播，對毫無戒心的網際網路使用者進行了大規模的網路釣魚攻擊。目前惡意程式碼已經感染了巴西多達 10 萬臺網際網路路由器，其將流量重定向到了仿冒的各大銀行、電信企業、網際網路服務提供商、甚至 Netflix 視訊網站，並瘋狂收集金融機構相關的使用者登陸憑證。

這款惡意軟體，與所謂的“殭屍網路”還是有一定區別的。

Netlab 將這款惡意軟體命名為 GhostDNS，它由複雜的攻擊指令碼組合而成。這些指令碼會劫持路由器設定，用其它 DNS 服務頂替，然後將流量引導至“克隆”後的大型線上服務提供商的登陸頁面。

本例中的 DNS 重定向服務，被稱作 Rouge，它甚至可以在亞馬遜、OVH、谷歌、西班牙電信、以及甲骨文等眾多知名雲託管服務商執行。

自今年 6 月以來，該網路一直在執行著網路釣魚計劃。Netlab 正在跟進感染程序、及其內部運作，並積極聯絡服務提供商、以聯手關閉該網路。

由 Netlab 繪製的圖表可知，攻擊分為四個層級。首先是一個 Web 管理系統，它會掃描網際網路上易受攻擊的裝置。

然後是 RougeDNS 支撐的 DNS Changer ofollow,noindex">伺服器 網路，旨在將網址重定向到假冒網銀等釣魚 網站 的伺服器上。

Netlab 指出，漏洞出在遠端訪問的控制上。GhostDNS 能夠執行 100 多個攻擊指令碼、影響 70 多種不同型別的路由器，這些路由器都易受到 DNS 劫持。

一旦你的路由器被黑客入侵，通常無害的網銀就會變成網路釣魚的噩夢 —— 將 HTTP 請求惡意重定向到克隆後的登陸頁面，以收集使用者資料。

需要注意的是，儘管大多數受感染的路由器位於巴西（佔 87.8%）、且網路釣魚明顯針對的巴西企業，但整個南美洲也有大量波及（感染超過 10 萬臺路由器）。

Netlab 正與主要的服務提供商展開合作，以加強漏洞管控、並關閉將使用者導向釣魚網站的惡意 DNS 伺服器。

最後，Spamhaus.com 將巴西評為全球殭屍網路感染排行榜的第三名。其共有 756420 個受感染的裝置，僅次於印度（148 萬 5933）和中國（166 萬 6901）。

[編譯自： TechSpot ]