Мощный ботнет перехватывает трафик, предназначенный для бразильских банков

Киберпреступники модифицировали настройки DNS более 100 тыс. маршрутизаторов таким образом, чтобы они перенаправляли пользователей на фишинговые страницы. Порядка 88% этих маршрутизаторов находятся в Бразилии, а перенаправление осуществляется только при попытке пользователя зайти на страницы электронного банкинга бразильских финансовых организаций.

Вредоносная кампания продолжается как минимум с середины августа, когда была замечена ИБ-экспертами из Radware. На прошлой неделе специалисты из Qihoo 360 представили свой подробный отчет о деятельности стоящей за кампанией группировки.

Согласно отчету, злоумышленники сканируют пространство бразильских IP-адресов в поисках маршрутизаторов со слабыми паролями или вообще без паролей и в настройках меняют легитимный DNS интернет-провайдера на свой собственный. Все проходящие через скомпрометированные маршрутизаторы DNS-запросы перенаправляются на DNS-серверы злоумышленников, которые отправляют некорректные данные для 52 сайтов.

В основном эти сайты представляют собой страницы бразильских банков и хостинговых сервисов. При попытке зайти на них, пользователи попадают на фишинговые страницы, предназначенные для похищения их учетных данных.

Атаки осуществляются с помощью трех модулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Третий модуль является самым мощным. Он развернут на более ста облачных серверах Google, а в его распоряжении имеется 69 скриптов для брутфорса паролей 47 моделей маршрутизаторов с различными прошивками.

Источник