Китайские исследователи безопасности обнаружили вредоносную программу, которой были заражены уже более 100 000 домашних маршрутизаторов. GhostDNS меняет настройки DNS, чтобы получить доступ к данным пользователей, в первую очередь — к информации, которая пересылается при работе с онлайн-банкингом.
GhostDNS имеет много общего с печально известной вредоносной программой DNSChanger. Она заражала компьютеры пользователей, изменяя настройки DNS, тем самым позволяя злоумышленникам маршрутизировать трафик через свой сервер и похищать конфиденциальные данные.
Отчет компании NetLab, подготовленный по заказу Qihoo 360, гласит, что как и DNSChanger, GhostDNS сканирует IP-адреса в поисках маршрутизаторов, которые используют слабый пароль или не используют его вовсе, после чего меняет адрес DNS-провайдера.
GhostDNS включает в себя четыре модуля, написанных на Shell, JavaScript, Python и PHP.
- DNSChanger — основной модуль GhostDNS, предназначенный для эксплуатации целевых маршрутизаторов на основе собранной информации. Он состоит из трех подмодулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Каждый из них реализует несколько сценариев атак, ориентированных на разные модели маршрутизаторов (всего более 70).
- Web Admin — вероятно, администраторская панель злоумышленников.
- Rogue DNS — модуль, отвечающий за подмену адресов при резолве DNS.
- Фишинговый веб-модуль — указывает на адрес фейковой версии подменяемого сайта.
Исследователям не удалось получить доступ к коду серверной части зловреда, чтобы узнать полный список подменяемых адресов. Однако проверив домены из первого миллиона в рейтинге Alexa, они обнаружили, что DNS-сервер злоумышленников, расположенный по адресу 139.60.162.188, подменяет 52 адреса, среди которых большинство — это онлайн-банки. Из популярных сервисов в списке присутствует Netflix.
По словам исследователей, с 21 по 27 сентября 2018 года кампания GhostDNS скомпрометировала более 100 000 маршрутизаторов, из которых 87,8% устройств находятся на территории Бразилии.
Чтобы обезопасить свой компьютер от этой и других схожих угроз рекомендуется обновить прошивку до последней версии и задать надежный пароль на панель администратора, а еще лучше — вообще отключить удаленное администрирование.