GhostDNS劫持10萬臺路由器 流量被導向釣魚網站
Netlab 安全研究人員,剛剛曝光了一款惡意軟體。它經由網際網路路由器大肆傳播,對毫無戒心的網際網路使用者進行了大規模的網路釣魚攻擊。目前惡意程式碼已經感染了巴西多達 10 萬臺網際網路路由器,其將流量重定向到了仿冒的各大銀行、電信企業、網際網路服務提供商、甚至 Netflix 視訊網站,並瘋狂收集金融機構相關的使用者登陸憑證。
這款惡意軟體,與所謂的“殭屍網路”還是有一定區別的。
Netlab 將這款惡意軟體命名為 GhostDNS,它由複雜的攻擊指令碼組合而成。這些指令碼會劫持路由器設定,用其它 DNS 服務頂替,然後將流量引導至“克隆”後的大型線上服務提供商的登陸頁面。
本例中的 DNS 重定向服務,被稱作 Rouge,它甚至可以在亞馬遜、OVH、谷歌、西班牙電信、以及甲骨文等眾多知名雲託管服務商執行。
自今年 6 月以來,該網路一直在執行著網路釣魚計劃。Netlab 正在跟進感染程序、及其內部運作,並積極聯絡服務提供商、以聯手關閉該網路。
由 Netlab 繪製的圖表可知,攻擊分為四個層級。首先是一個 Web 管理系統,它會掃描網際網路上易受攻擊的裝置。
然後是 RougeDNS 支撐的 DNS Changer ofollow,noindex">伺服器 網路,旨在將網址重定向到假冒網銀等釣魚 網站 的伺服器上。
Netlab 指出,漏洞出在遠端訪問的控制上。GhostDNS 能夠執行 100 多個攻擊指令碼、影響 70 多種不同型別的路由器,這些路由器都易受到 DNS 劫持。
一旦你的路由器被黑客入侵,通常無害的網銀就會變成網路釣魚的噩夢 —— 將 HTTP 請求惡意重定向到克隆後的登陸頁面,以收集使用者資料。
需要注意的是,儘管大多數受感染的路由器位於巴西(佔 87.8%)、且網路釣魚明顯針對的巴西企業,但整個南美洲也有大量波及(感染超過 10 萬臺路由器)。
Netlab 正與主要的服務提供商展開合作,以加強漏洞管控、並關閉將使用者導向釣魚網站的惡意 DNS 伺服器。
最後,Spamhaus.com 將巴西評為全球殭屍網路感染排行榜的第三名。其共有 756420 個受感染的裝置,僅次於印度(148 萬 5933)和中國(166 萬 6901)。
[編譯自: TechSpot ]