Бразильские пользователи стали жертвой необычной хакерской атаки

Как сообщают сотрудники Proofpoint в блоге компании, в Бразилии в настоящее время проходит необычная хакерская атака. Хакеры рассылают по электронной почте вредоносные файлы, с помощью которых взламывают маршрутизаторы жертв и шпионят за их web-трафиком. Используя вредоносные вложения, хакеры эксплуатируют бреши в домашних маршрутизаторах и получают доступ к консоли администратора. После этого злоумышленники меняют настройки DNS роутеров.

Такие виды атак обычно достаточно сложны в исполнении, поскольку хакерам требуется получить доступ к DNS-серверам организаций или провайдеров. В связи с этим хакеры редко атакуют крупные организации с применением этого способа взлома, нацеливаясь вместо этого на домашние маршрутизаторы.

Как отметили специалисты Proofpoint, использование электронной почты для осуществления подобных взломов достаточно необычно. По их словам, в большинстве случаев хакеры пытаются удаленно атаковать маршрутизаторы без вовлечения в процесс жертв.

Успешная атака позволит киберпреступникам перенаправлять пользователей на вредоносные или фишинговые сайты, даже если жертва ввела правильный адрес. Хакеры также смогут осуществлять атаки «человек посередине», что даст им возможность перехватывать сообщения электронной почты, логины и пароли, результаты поисков и так далее.

Специалисты Proofpoint проанализировали примерно 100 фишинговых сообщений, отправленных владельцам домашних роутеров TR-Link или UTStarcom. Письма содержали вредоносные ссылки, ведущие на атакующий маршрутизаторы сервер. Он эксплуатировал CSRF-уязвимости в сетевом оборудовании, в результате чего хакеры получали доступ к панели администратора устройств и пытались подобрать логин и пароль. После этого злоумышленники меняли настройки маршрутизаторов, устанавливая собственный DNS-сервер.