Мощный ботнет перехватывает трафик, предназначенный для бразильских банков
Настройки DNS 100 тыс. маршрутизаторов изменены для перенаправления жертв на фишинговые страницы.
Киберпреступники модифицировали настройки DNS более 100 тыс. маршрутизаторов таким образом, чтобы они перенаправляли пользователей на фишинговые страницы. Порядка 88% этих маршрутизаторов находятся в Бразилии, а перенаправление осуществляется только при попытке пользователя зайти на страницы электронного банкинга бразильских финансовых организаций. Вредоносная кампания продолжается как минимум с середины августа, когда была замечена ИБ-экспертами из Radware. На прошлой неделе специалисты из Qihoo 360 представили свой подробный отчет о деятельности стоящей за кампанией группировки.
Согласно отчету, злоумышленники сканируют пространство бразильских IP-адресов в поисках маршрутизаторов со слабыми паролями или вообще без паролей и в настройках меняют легитимный DNS интернет-провайдера на свой собственный. Все проходящие через скомпрометированные маршрутизаторы DNS-запросы перенаправляются на DNS-серверы злоумышленников, которые отправляют некорректные данные для 52 сайтов.
В основном эти сайты представляют собой страницы бразильских банков и хостинговых сервисов. При попытке зайти на них, пользователи попадают на фишинговые страницы, предназначенные для похищения их учетных данных.
Атаки осуществляются с помощью трех модулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Третий модуль является самым мощным. Он развернут на более ста облачных серверах Google, а в его распоряжении имеется 69 скриптов для брутфорса паролей 47 моделей маршрутизаторов с различными прошивками.