Новая малварь GhostDNS заразила уже более 100 000 роутеров

Китайские исследователи безопасности обнаружили вредоносную программу, которой были заражены уже более 100 000 домашних маршрутизаторов. GhostDNS меняет настройки DNS, чтобы получить доступ к данным пользователей, в первую очередь — к информации, которая пересылается при работе с онлайн-банкингом.

GhostDNS имеет много общего с печально известной вредоносной программой DNSChanger. Она заражала компьютеры пользователей, изменяя настройки DNS, тем самым позволяя злоумышленникам маршрутизировать трафик через свой сервер и похищать конфиденциальные данные.

Отчет компании NetLab, подготовленный по заказу Qihoo 360, гласит, что как и DNSChanger, GhostDNS сканирует IP-адреса в поисках маршрутизаторов, которые используют слабый пароль или не используют его вовсе, после чего меняет адрес DNS-провайдера.

GhostDNS включает в себя четыре модуля, написанных на Shell, JavaScript, Python и PHP.

  • DNSChanger — основной модуль GhostDNS, предназначенный для эксплуатации целевых маршрутизаторов на основе собранной информации. Он состоит из трех подмодулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Каждый из них реализует несколько сценариев атак, ориентированных на разные модели маршрутизаторов (всего более 70).
  • Web Admin — вероятно, администраторская панель злоумышленников.
  • Rogue DNS — модуль, отвечающий за подмену адресов при резолве DNS.
  • Фишинговый веб-модуль — указывает на адрес фейковой версии подменяемого сайта.

Исследователям не удалось получить доступ к коду серверной части зловреда, чтобы узнать полный список подменяемых адресов. Однако проверив домены из первого миллиона в рейтинге Alexa, они обнаружили, что DNS-сервер злоумышленников, расположенный по адресу 139.60.162.188, подменяет 52 адреса, среди которых большинство — это онлайн-банки. Из популярных сервисов в списке присутствует Netflix.

По словам исследователей, с 21 по 27 сентября 2018 года кампания GhostDNS скомпрометировала более 100 000 маршрутизаторов, из которых 87,8% устройств находятся на территории Бразилии.

Чтобы обезопасить свой компьютер от этой и других схожих угроз рекомендуется обновить прошивку до последней версии и задать надежный пароль на панель администратора, а еще лучше — вообще отключить удаленное администрирование.

Источник: https://xakep.ru/2018/10/04/ghost-dns/