Atak DNS na brazylijskie banki

Klawiatura

Atak w Brazylii skierowany był na routery DSL firmy DLink, a jego mechanizm polegał na tym, aby przekierowywać użytkowników do fałszywych witryn bankowych, przeprowadzając zmianę ustawień DNS.

Jak podaje Radware, dzięki tej „sztuczce” cyberprzestępcy kradną dane logowania do kont bankowych potencjalnych użytkowników.

Atakujący zmieniają ustawienia DNS w wyniku czego kierują urządzenia sieciowe na kontrolowane przez siebie serwery DNS. Eksperci zaobserwowali oszustów używających dwóch serwerów DNS o adresach IP: 69.162.89.185 i 198.50.222.136. Te dwa podstawione serwery DNS są wynikiem przekierowania adresów Banku Brazylii (www.bb.com.br) oraz Itau Unibanco (nazwa hosta www.itau.com.br). W wyniku tego klienci instytucji wchodzą na fałszywe klony serwisów macierzystych.

Centrum badawcze śledzi szkodliwe działania mające na celu atak na routery DSL firmy DLink w Brazylii od 8 czerwca. Dzięki starym exploitom z roku 2015 złośliwy agent próbuje zmodyfikować ustawienia serwerów DNS w routerach brazylijczyków, przekierowując wszystkie ich żądania DNS na podstawiony serwer DNS.

– czytamy w analizie opublikowanej przez Radware.

Fałszywy serwer DNS przejmuje żądania dotyczące nazwy hosta Banco deBrasil (www.bb.com.br) i przekierowuje do fałszywej, identycznej co oryginał witryny hostowanej na tym samym złośliwym serwerze DNS, który nie ma żadnego związku z legalną stroną Banku Brazylii.

Hakerzy wykorzystują stare exploity pochodzące z 2015 roku, które działają na niektórych modelach urządzeń DLink DSL.

Eksperci podkreślili, że cały proces odbywa się bez jakichkolwiek interakcji ze strony nieświadomego niczego użytkownika.

Atak jest podstępny w tym sensie, że użytkownik jest całkowicie nieświadomy zmiany jaka zachodzi na ekranie. Przekierowanie działa bez tworzenia lub zmiany adresów URL w pasku adresu przeglądarki użytkownika. Użytkownik może korzystać z dowolnej przeglądarki, może wpisać adres URL ręcznie, a nawet korzystać z niego na urządzeniach mobilnych, takich jak np. tablet.

– czytamy w alercie opublikowanym przez Radware.

Użytkownik będzie odsyłany do złośliwej witryny internetowej zamiast do żądanej przez niego oryginalnej strony, a przejęcie skutecznie działa już na poziomie bramy.

Atakujący przeprowadzili kampanie phishingowe ze spreparowanymi adresami URL i kampaniami reklamującymi złośliwe oprogramowanie, próbującymi zmienić konfigurację DNS z poziomu przeglądarki użytkownika. Taki atak nie jest nowością, hakerzy używają podobnych technik od 2014 r. W 2016 r. narzędzie do exploitów znane jako RouterHunterBr 2.0 zostało opublikowane online i używało tych samych złośliwych adresów URL, ale Radware nie ma wiedzy o nadużyciach pochodzących w wyniku zastosowania tego narzędzia. Ponadto Radware zarejestrowało kilka prób infekcji przeprowadzonych na starym routerze DSL D-Link.

Gdy potencjalne ofiary odwiedzą fałszywe strony internetowe, zostają poproszone o podanie informacji o banku, w tym numeru konta, numeru telefonu komórkowego, numeru PIN karty, ośmiocyfrowego numeru PIN i numeru CABB.

Eksperci zauważyli też, że witryny wyłudzające informacje używane w kampanii są oznaczane jako niezabezpieczone w adresie URL. Radware zgłosiło już złośliwe kampanie do instytucji finansowych będących przedmiotem ich ataku.Wygodnym sposobem sprawdzania serwerów DNS używanych przez urządzenia i router jest korzystanie z witryn takich jak whatsmydnsserver.com.

Do ataku można wykorzystać tylko modemy i routery, które nie były aktualizowane w ciągu ostatnich dwóch lat. Aktualizacje chronią właściciela urządzenia, a także zapobiegają przejęciu urządzeń wykorzystywanych w atakach DDoS lub ukrywaniu ukierunkowanych ataków.

– czytamy w raporcie Radware.

Źródło: Cyber Defense Magazine. Foto: Stockvault

Zostaw odpowiedź

Twój email nie zostanie opublikowany. Pola wymagane oznaczone *