Китайские исследователи безопасности обнаружили вредоносную программу, которой были заражены уже более 100 000 домашних маршрутизаторов. GhostDNS меняет настройки DNS, чтобы получить доступ к данным пользователей, в первую очередь — к информации, которая пересылается при работе с онлайн-банкингом.

GhostDNS имеет много общего с печально известной вредоносной программой DNSChanger. Она заражала компьютеры пользователей, изменяя настройки DNS, тем самым позволяя злоумышленникам маршрутизировать трафик через свой сервер и похищать конфиденциальные данные.

Отчет компании NetLab, подготовленный по заказу Qihoo 360, гласит, что как и DNSChanger, GhostDNS сканирует IP-адреса в поисках маршрутизаторов, которые используют слабый пароль или не используют его вовсе, после чего меняет адрес DNS-провайдера.

GhostDNS включает в себя четыре модуля, написанных на Shell, JavaScript, Python и PHP.

  • DNSChanger — основной модуль GhostDNS, предназначенный для эксплуатации целевых маршрутизаторов на основе собранной информации. Он состоит из трех подмодулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Каждый из них реализует несколько сценариев атак, ориентированных на разные модели маршрутизаторов (всего более 70).
  • Web Admin — вероятно, администраторская панель злоумышленников.
  • Rogue DNS — модуль, отвечающий за подмену адресов при резолве DNS.
  • Фишинговый веб-модуль — указывает на адрес фейковой версии подменяемого сайта.

Исследователям не удалось получить доступ к коду серверной части зловреда, чтобы узнать полный список подменяемых адресов. Однако проверив домены из первого миллиона в рейтинге Alexa, они обнаружили, что DNS-сервер злоумышленников, расположенный по адресу 139.60.162.188, подменяет 52 адреса, среди которых большинство — это онлайн-банки. Из популярных сервисов в списке присутствует Netflix.

По словам исследователей, с 21 по 27 сентября 2018 года кампания GhostDNS скомпрометировала более 100 000 маршрутизаторов, из которых 87,8% устройств находятся на территории Бразилии.

Чтобы обезопасить свой компьютер от этой и других схожих угроз рекомендуется обновить прошивку до последней версии и задать надежный пароль на панель администратора, а еще лучше — вообще отключить удаленное администрирование.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии