LLcmpgheng 2018-10-03
Netlab 安全研究人员,刚刚曝光了一款恶意软件。它经由互联网路由器大肆传播,对毫无戒心的互联网用户进行了大规模的网络钓鱼攻击。目前恶意代码已经感染了巴西多达 10 万台互联网路由器,其将流量重定向到了仿冒的各大银行、电信企业、互联网服务提供商、甚至 Netflix 视频网站,并疯狂收集金融机构相关的用户登陆凭证。
这款恶意软件,与所谓的“僵尸网络”还是有一定区别的。
Netlab 将这款恶意软件命名为 GhostDNS,它由复杂的攻击脚本组合而成。这些脚本会劫持路由器设置,用其它 DNS 服务顶替,然后将流量引导至“克隆”后的大型在线服务提供商的登陆页面。
本例中的 DNS 重定向服务,被称作 Rouge,它甚至可以在亚马逊、OVH、谷歌、西班牙电信、以及甲骨文等众多知名云托管服务商运行。
自今年 6 月以来,该网络一直在运行着网络钓鱼计划。Netlab 正在跟进感染进程、及其内部运作,并积极联系服务提供商、以联手关闭该网络。
由 Netlab 绘制的图表可知,攻击分为四个层级。首先是一个 Web 管理系统,它会扫描互联网上易受攻击的设备。
然后是 RougeDNS 支撑的 DNS Changer 服务器网络,旨在将网址重定向到假冒网银等钓鱼网站的服务器上。
Netlab 指出,漏洞出在远程访问的控制上。GhostDNS 能够运行 100 多个攻击脚本、影响 70 多种不同类型的路由器,这些路由器都易受到 DNS 劫持。
一旦你的路由器被黑客入侵,通常无害的网银就会变成网络钓鱼的噩梦 —— 将 HTTP 请求恶意重定向到克隆后的登陆页面,以收集用户数据。
需要注意的是,尽管大多数受感染的路由器位于巴西(占 87.8%)、且网络钓鱼明显针对的巴西企业,但整个南美洲也有大量波及(感染超过 10 万台路由器)。
Netlab 正与主要的服务提供商展开合作,以加强漏洞管控、并关闭将用户导向钓鱼网站的恶意 DNS 服务器。
最后,Spamhaus.com 将巴西评为全球僵尸网络感染排行榜的第三名。其共有 756420 个受感染的设备,仅次于印度(148 万 5933)和中国(166 万 6901)。
[编译自:TechSpot]