DNS-атаки на роутеры D-Link затрагивают трафик банков, Gmail, PayPal, Netflix и так далее

Рекомендуем почитать:

Xakep #240. Ghidra

• Содержание выпуска
• Подписка на «Хакер»

На прошлой неделе ИБ-эксперты предупредили, что роутеры производства D-Link, ARG, DSLink, Secutech и TOTOLINK находятся под атакой неизвестных злоумышленников.

Сообщалось, что начиная с декабря прошлого года хакеры взламывают эти устройства через известные уязвимости в прошивках, подменяют настройки DNS и перенаправляют трафик пользователей на вредоносные сайты. В основном атакующие сосредоточили свои усилия на роутерах D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B и D-Link DSL-526B.

Однако на прошлой неделе экспертам не удалось выяснить, какие именно сайты злоумышленники подменяют при помощи изменения настроек DNS и какие цели преследуют.

Пролить свет на этот аспект атак помогли исследователи компании Ixia. Аналитики сообщили, что злоумышленников интересует подмена доменов ряда бразильских банков, Gmail, PayPal, Netflix и так далее.

В Ixia сообщили, что атаки затрагивают GMail.com, PayPal.com, Netflix.com, Uber.com, caix.gov.br, itau.com.br, bb.com.br, bancobrasil.com.br, sandander.com.br, pagseguro.uol.com.br, sandandernet.com.br, cetelem.com.br и, вероятно, другие сайты.

По данным исследователей, атакующие уже отключили DNS-серверы, замеченные специалистами в ходе прошлых атак, и перешли на новые. Хуже того, пользователи скомпрометированных роутеров, пытающиеся попасть на перечисленные выше сайты, в итоге попадают на фишинговые станицы атакующих, все взаимодействие с которыми производится «открытым текстом», через HTTP.

Так как ранее сообщалось, что злоумышленники задействовали в своих кампаниях ресурсы Google Cloud Platform, представители Google сообщили изданию ArsTechnica, что аккаунты нарушителей уже были заблокированы, а компания внимательно следит за подобными случаями злоупотребления и своевременно их пресекает.

Источник