DNS劫持瞄准巴西金融机构

TRex Web安全 2018年8月18日发布
Favorite收藏

导语:Crooks正在瞄准巴西的DLink DSL路由器,通过DNS劫持将用户重定向到伪造的银行网站。

Crooks正在瞄准巴西的DLink DSL路由器,通过更改DNS设置将用户重定向到伪造的银行网站。

据Radware研究人员报道,利用此策略网络犯罪分子就可以窃取银行账户的登录凭据。

攻击者将网络设备的DNS设置更改为指向他们控制的DNS服务器,在此行动中,专家观察到犯罪分子使用了两个DNS服务器:69.162.89.185和198.50.222.136。这两个DNS服务器将Banco de Brasil(www.bb.com.br)和Itau Unibanco(主机名www.itau.com.br)解析为虚假克隆的地址。

来自Radware发布的分析analysis

自6月8日以来,该研究中心一直在跟踪针对巴西DLink DSL路由器的恶意活动。通过最早可追溯到2015年的旧漏洞,恶意代理修改巴西公民路由器中的DNS服务器设置,恶意DNS服务器重定向所有DNS请求。

恶意DNS服务器正在劫持对Banco de Brasil(www.bb.com.br)主机名的请求,并重定向到托管在同一恶意DNS服务器上的虚假克隆网站,该服务器与合法的Banco de Brasil无关。

黑客使用最早可追溯到2015年的旧漏洞,这些漏洞影响某些型号的DLink DSL设备,只需攻击在线存在漏洞的路由器并更改其DNS设置即可。

专家强调,劫持是在无需用户交互的情况下进行的。

Radware发布的警报如是说,

在用户完全不知道的情况下,攻击是很隐蔽的。劫持无需在用户的浏览器中构建或更改URL。用户可以使用任何浏览器及常规快捷方式,用户可以手动输入URL,甚至可以从移动设备(如智能手机或平板电脑)使用它。用户仍然会被指向恶意网站,而不是他们要求的网站,而且有效劫持在网关级别上运行。

攻击者使用精心设计的网址和恶意广告行动进行网上钓鱼,尝试从用户的浏览器中更改DNS配置。这种类型的攻击并不新鲜,黑客自2014年以来一直在使用类似的技术,2016年,一个名为RouterHunterBr 2.0的漏洞利用工具在线发布并使用了相同的恶意URL,但Radware目前还没有发现此工具的滥用行为。

自6月12日以来,Radware已经记录了几次针对旧D-Link DSL路由器漏洞的感染。

攻击中使用的恶意网址为:

自2015年2月以来,多个DSL路由器(主要是D-Link)的多个漏洞已在线发布:

· Shuttle Tech ADSL Modem-Router 915 WM / Unauthenticated Remote DNS Change. Exploit http://www.exploit-db.com/exploits/35995/

· D-Link DSL-2740R / Unauthenticated Remote DNS Change Exploit http://www.exploit-db.com/exploits/35917/

· D-Link DSL-2640B Unauthenticated Remote DNS Change Exploit https://www.exploit-db.com/exploits/37237/

· D-Link DSL-2780B DLink_1.01.14 – Unauthenticated Remote DNS Change https://www.exploit-db.com/exploits/37237/

· D-Link DSL-2730B AU_2.01 – Authentication Bypass DNS Change https://www.exploit-db.com/exploits/37240/

· D-Link DSL-526B ADSL2+ AU_2.01 – Unauthenticated Remote DNS Change https://www.exploit-db.com/exploits/37241/

一旦受害者访问虚假网站,他们将被要求提供银行信息,包括代理商号码,帐号,手机号码,卡片pin码,八位pin码和一个CABB号码。

专家注意到,攻击中使用的网上诱骗网站在URL地址中被标记为不安全。

Radware向攻击所针对的金融机构报告了这些行动,目前,虚假网站已经离线。

Radware推荐,

检查设备和路由器使用的DNS服务器的便捷方式是通过http://www.whatsmydnsserver.com/这样的网站。只有过去两年未更新的调制解调器和路由器才能被利用。更新将保护设备的所有者,并防止设备被用于DDoS攻击或隐藏有针对性的攻击

本文翻译自:https://securityaffairs.co/wordpress/75282/cyber-crime/dns-hijacking-brazil.html如若转载,请注明原文地址: http://www.4hou.com/web/13101.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论