За последние месяцы специалисты компании Avast зафиксировали более 4,6 млн drive-by атак на роутеры бразильских пользователей, причем около 180 000 из них увенчались успехом: злоумышленникам удалось подменить настройки DNS устройств.
Атаки на роутеры бразильских пользователей начались еще летом 2018 года, и впервые были обнаружены экспертами компании Radware, а также специалистами китайской фирмы Qihoo 360. Измененные настройки DNS использовались для перенаправления жертв на вредоносные сайты каждый раз, когда те воспользоваться электронным банкингом ряда бразильских банков. Позже кампания расширилась, и злоумышленники стали подделывать и сайты Netflix, Google и PayPal , так же подменяя их фишинговыми страницами.
Теперь аналитики Avast предупредили, что атаки по-прежнему продолжаются, а их сложность и масштабы только возрастают.
По данным исследователей, в основном роутеры подвергаются взлому во время посещения сайтов с потоковым видео (это могут быть спортивные ресурсы, порты для взрослых и так далее). На таких сайтах часто присутствует вредоносная реклама, которая определяет IP-адреса роутера жертвы, а также его модель. Затем начинается перебор учетных данных по умолчанию. И хотя обычно такие атаки занимают некоторое время, большинство пользователей даже не замечают их, так как заняты просмотром видео.
Если атака удалась и учетные данные подобраны, малварь из вредоносной рекламы изменит настройки DNS устройства, прописав в конфигурации роутера адреса DNS-серверов, подконтрольных хакерам. В основном целями злоумышленников становятся следующие устройства:
- TP-Link TL-WR340G
- TP-Link WR1043ND
- D-Link DSL-2740R
- D-Link DIR 905L
- A-Link WL54AP3 / WL54AP2
- Medialink MWN-WAPR300
- Motorola SBG6580
- Realtron
- GWR-120
- Secutech RiS-11/RiS-22/RiS-33
В результате атакующие получают возможность перехватывать и перенаправлять трафик пользователя на фишинговые сайты-клоны, показывать жертвам рекламные объявления, которые приносит прибыль операторам малвари (похожую тактику ранее использовал DNSChanger) и даже внедрять в трафик криптоджекинговые скрипты.
Согласно Avast, в настоящее время для таких атак используются несколько специальных инструментов: GhostDNS (обнаруженный и описанный Radware и Qihoo 360 еще в прошлом году), а также его вариация под названием Navidade, появившаяся в феврале. Кроме того, в середине апреля исследователи обнаружили набор эксплоитов SonarDNS, построенный на базе фреймворка SONAR JS.
Исследователи отмечают, что только феврале Novidade пытался заразить маршрутизаторы пользователей более 2,6 миллиона раз и использовался в трех активных кампаниях. В свою очередь, SonarDNS тоже замечен как минимум в трех кампаниях и в настоящее время его поведение очень похоже на GhostDNS.
