GhostDNS劫持10万台路由器 流量被导向钓鱼网站

Netlab 安全研究人员,刚刚曝光了一款恶意软件。它经由互联网路由器大肆传播,对毫无戒心的互联网用户进行了大规模的网络钓鱼攻击。目前恶意代码已经感染了巴西多达 10 万台互联网路由器,其将流量重定向到了仿冒的各大银行、电信企业、互联网服务提供商、甚至 Netflix 视频网站,并疯狂收集金融机构相关的用户登陆凭证。

GhostDNS劫持10万台路由器 流量被导向钓鱼网站

这款恶意软件,与所谓的“僵尸网络”还是有一定区别的。

Netlab 将这款恶意软件命名为 GhostDNS,它由复杂的攻击脚本组合而成。这些脚本会劫持路由器设置,用其它 DNS 服务顶替,然后将流量引导至“克隆”后的大型在线服务提供商的登陆页面。

本例中的 DNS 重定向服务,被称作 Rouge,它甚至可以在亚马逊、OVH、谷歌、西班牙电信、以及甲骨文等众多知名云托管服务商运行。

自今年 6 月以来,该网络一直在运行着网络钓鱼计划。Netlab 正在跟进感染进程、及其内部运作,并积极联系服务提供商、以联手关闭该网络。

由 Netlab 绘制的图表可知,攻击分为四个层级。首先是一个 Web 管理系统,它会扫描互联网上易受攻击的设备。

然后是 RougeDNS 支撑的 DNS Changer 服务器网络,旨在将网址重定向到假冒网银等钓鱼网站的服务器上。

Netlab 指出,漏洞出在远程访问的控制上。GhostDNS 能够运行 100 多个攻击脚本、影响 70 多种不同类型的路由器,这些路由器都易受到 DNS 劫持。

一旦你的路由器被黑客入侵,通常无害的网银就会变成网络钓鱼的噩梦 —— 将 HTTP 请求恶意重定向到克隆后的登陆页面,以收集用户数据。

需要注意的是,尽管大多数受感染的路由器位于巴西(占 87.8%)、且网络钓鱼明显针对的巴西企业,但整个南美洲也有大量波及(感染超过 10 万台路由器)。

Netlab 正与主要的服务提供商展开合作,以加强漏洞管控、并关闭将用户导向钓鱼网站的恶意 DNS 服务器。

最后,Spamhaus.com 将巴西评为全球僵尸网络感染排行榜的第三名。其共有 756420 个受感染的设备,仅次于印度(148 万 5933)和中国(166 万 6901)。

[编译自:TechSpot]

相关推荐