Дослідники отримали та проаналізували вихідний код експлойта GhostDNS (EK). GhostDNS використовується для зламу широкого кола моделей маршрутизаторів для полегшення фішингу для банківських облікових даних. Більшість заражених роутерів знаходяться в країнах Латинської Америки, але загалом масштаби розповсюдження шкідника в світі ще до кінця не відомі. Про це повідомили на SecurityWeek.
Вихідний код, використаний у кампанії GhostDNS, розкрили дослідники Avast. Відомо, що Avast Antivirus має Web Shield, для захисту користувачів від шкідливого веб-вмісту. Таким чином, шкідника відкрили випадково – коли один користувач вирішив з чимось проекспериментувати на власному комп’ютері, спробувавши завантажити архів RAR зі шкідливим вмістом. Він забув вимкнути Web Shield та захистити паролем архів RAR. Web Shield ідентифікував його як шкідливий, автоматично проаналізував вміст і позначив його як експлойт.
“Ми завантажили зв’язаний файл і знайшли повний вихідний код експлойта GhostDNS”, – повідомляє команда дослідників Avast Threat Intelligence Team.
Архів RAR має назву KL DNS.rar, що вказує на його призначення – викрадення DNS, що перенаправляє користувачів на спеціальний фішинговий сайт, де використовується кейлоггер для вилучення облікових даних користувача або даних банківської картки.
В архіві містилося все необхідне для кампанії викрадення DNS, як всередині мережі, так і ззовні з Інтернету. Внутрішні атаки часто проводяться через шкідливу рекламу. Такий пов’язаний з експлойтом шкідник дозволяє першому безпосередньо атакувати роутер з комп’ютера, який використовує роутер. Зовнішні атаки з Інтернету вимагають сканування та виявлення уразливих маршрутизаторів, перш ніж їх можна атакувати. Все необхідне для обох форм кібератаки містилося в архіві RAR.
Більшість кампаній GhostDNS націлені на маршрутизатори в Латинській Америці – зокрема, у Бразилії. За даними телеметрії, отриманої від антивірусів Avast, 76% маршрутизаторів у Бразилії мають слабкі паролі або зберегли налаштування за замовчуванням, що робить регіон прибутковою ціллю.
Для атак з Інтернету у архіві містилася програма BRUT – безкоштовний сканер Інтернету, який знаходить і атакує маршрутизатори з загальнодоступною IP-адресою та відкритим HTTP-портом. Avast знайшов дві версії BRUT. Один націлений на меншу кількість пристроїв і портів, але з довгим списком стандартних і загальних паролів, які можна використовувати, а інший орієнтується на більшу кількість пристроїв з меншою кількістю можливих облікових даних. Остання, схоже, є найновішою версією.
Дослідники кажуть, що це можливо тому, що більшість користувачів ніколи не змінюють облікові дані за замовчуванням у своїх маршрутизаторах некорпоративного класу, а тому використання меншої кількості облікових даних для атаки може бути досить ефективним. Менше даних щодо більшої кількості маршрутизаторів можуть бути ефективнішими, ніж багато облікових даних щодо обмеженої кількості різних маршрутизаторів. Цікаво, що обидва набори облікових даних містять пароль ‘deadcorp2017’, який GhostDNS встановлює як новий пароль в заражених маршрутизаторах – це означає, що нові версії експлойта можуть отримати доступ до вже заражених маршрутизаторів, навіть якщо оригінальний пароль не включений у поточну версію.
Основна методологія атаки полягає у використанні підробних запитів між сайтами (CSRF) для зміни налаштувань DNS на маршрутизаторі. Процес встановлює шахрайський DNS-сервер, який визначається зловмисником для кожної кампанії GhostDNS. У коді, знайденому Avast, було три різні зловмисні налаштування DNS – жоден з цих серверів наразі не працює.
Після зміни параметрів DNS користувачі будуть перенаправлятися на заздалегідь зроблені фішингові сторінки. Файл RAR, отриманий Avast, включав вихідний код для кількох таких сторінок. До них відносяться найбільші банки Бразилії – такі як Banco Bradesco, Itau, Santander та CrediCard – та Netflix. Вихідний код вказував, що інші домени були готові працювати, але фішинг-сторінки не були реалізовані.
Внутрішня атака, пов’язана з рекламною кампанією, діє по-різному. Eксплойт шукає маршрутизатори з відкритим портом (або 80, або 8080). Він створює кодований iframe BASE64, що представляє просту веб-сторінку з функцією, яка змінює HTTP-запити на запити WebSocket. Ці запити змінюють налаштування DNS на попередньо визначені шкідливі IP-адреси. У цій версії атаки знайдено лише вісім пар імен користувача / пароля, але вони включають найбільш часто використовувані логіни маршрутизаторів, використовувані в Бразилії.
Після того, як жертву успішно переспрямовано на шкідливу сторінку, кейлоггер викрадає дані про вхід у систему та реквізити банківської картки та надсилає все це по електронній пошті зловмиснику.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ВИКОРИСТОВУВАТИ FACE ID НА СВОЄМУ IPHONE ПІД ЧАС НОСІННЯ МАСКИ? – ІНСТРУКЦІЯ
ЯК ЗАХИСТИТИ GOOGLE ДИСК ЗА ДОПОМОГОЮ TOUCH ID АБО FACE ID?
ЯК ОЧИСТИТИ ІСТОРІЮ В УСІХ МОБІЛЬНИХ БРАУЗЕРАХ? ІНСТРУКЦІЯ
Нагадаємо, після встановлення оновлення Windows 10 May 2019 Update і November 2019 Update перестають працювати звукові карти, з’являється “синій екран смерті” або виникають проблеми з тимчасовим профілем користувача, а в процесі встановлення з’являються неінформативні повідомлення про помилку.
Також у поштовому сервісі Gmail з’явилася нова функція Google Meet – відтепер Ви можете з’єднуватись зі своїми рідними, друзями, колегами чи знайомими за допомогою відеоконференцзв’язку, не виходячи з пошти. Якщо до Вашого комп’ютера під’єднана відеокамера, достатьно буде натиснути кілька разів, щоб розпочати відеочат.
Хоча Microsoft Office все ще є розповсюдженим вибором для обробки текстів, презентацій слайд-шоу, обчислень електронних таблиць та багатьох інших цифрових завдань, є ще безліч безкоштовних альтернатив.
Зверніть увагу, що за допомогою протоколу віддаленого робочого стола (RDP) адміністратори мережі можуть відкрити користувачам порти для загального доступу через Інтернет до робочих документів з домашнього комп’ютера. Але це становить небезпеку, адже таким чином хакери можуть їх виявити та атакувати.
Окрім цього, інструмент віддаленого доступу з функціями бекдору під назвою Mikroceen використовують у шпигунських атаках на урядові структури та організації в галузі телекомунікацій та газовій промисловості Центральної Азії. Зловмисники могли отримати довгостроковий доступ до інфікованих мереж, маніпулювати файлами та робити знімки екрану.
