Эксперты Radware обнаружили, что злоумышленники используют уязвимость некоторых устройств D-Link для изменения настроек DNS и перенаправления бразильских пользователей, которые пытаются посетить сайты банков, на сайты-фальшивки. Эти фейковые ресурсы, разумеется, созданы для хищения учетных, финансовых и личных данных: номер телефона, PIN-код карты, номер CABB и так далее.
Подделки существуют как минимум для ресурсов двух банков: Banco de Brasil (www.bb.com.br) и Unibanco (www.itau.com.br). Вредоносные DNS, задействованные в атаках — это 69.162.89.185 и 198.50.222.136.
По данным исследователей, проблема, позволяющая неавторизованным лицам удаленно изменить настройки DNS, представляет опасность для модемов и роутеров D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B.
Первые попытки использования эксплоитов против DSL-роутеров D-Link были зафиксированы еще в начале июня 2018 года. Так, между 8 июня и 10 августа текущего года Radware удалось выявить более 500 попыток эксплуатации проблемы. При этом специалисты отмечают, что эксплоиты для многих роутеров (в основном производства D-Link) были опубликованы еще в 2015 году: 1, 2, 3, 4, 5, 6.
Специалисты предупреждают, что в данном случае распознать поддельный сайт гораздо труднее, чем обычно, ведь преступники не изменяют URL, не рассылают фишинговых писем и не прибегают к другим известным уловкам. Фактически, единственное, что выдает атаку – это незащищенное соединение (HTTP) или проблемы с сертификатом, если жертва пытается использовать HTTPS.
В настоящее время представители Radware уже поставили в известность о происходящем представителей банков и облачного хостинга, где размещались DNS-серверы, и фиктивные сайты прекратили работу.
Пользователям потенциально уязвимых устройств настоятельно рекомендуют проверить настройки DNS (сделать это можно не только в настройках роутера, но и при помощи специального сервиса).
