新闻中心

Hot News

DNS劫持针对巴西的金融机构

诈骗份子正锁定巴西的DLink宽带调制解调器路由器,透过DNS劫持将用户重新导向到伪造的银行网站。


据Radware研究人员报导,有了这个伎俩,网络犯罪份子就会窃取银行账户的登入凭证。攻击者更改了将网络设备指向他们控制的DNS服务器的DNS设定,在此活动中,专家观察到诈骗份子使用两个DNS服务器,69.162.89.185和198.50.222.136。这两个DNS服务器将Banco de Brasil(www.bb.com.br)和Itau Unibanco(www.itau.com.br)的逻辑地址解析为假的仿冒网站。

Radware发布的分析:『自6月8日以来,该研究中心一直在追踪针对巴西DLink宽带调制解调器路由器的恶意活动。通过可追朔到2015年的旧漏洞,恶意代理试图修改巴西居民路由器中的DNS服务器设定,透过恶意DNS伺服器重新导向所有DNS请求。』 『恶意DNS服务器正在劫持对Banco de Brasil(www.bb.com.br)主机名的请求,并重新导向到托管在同一恶意DNS服务器上的伪冒网站,该服务器与合法的Banco de Brasil网站无关。』

黑客正在使用可追朔到2015年的旧漏洞,它们可以在某些型号的DLink宽带设备上运行,它们只需要在网络上运行易受攻击的路由器并更改其DNS设定。专家强调,劫持是在没有任何使用者交互的情况下进行的。

Radware发布的警报:『在使用者完全不知道变化的意义上,攻击是阴险的。劫持工作无需在使用者的浏览器中制作或更改URL。使用者可以使用任何浏览器和他/她的常规快捷方式、使用者可以手动输入网址,甚至可以从移动设备(如智能型手机或平板计算机)使用它。』『使用者仍然会被发送到恶意网站,而不是被发送到他们要求的网站,而且劫持是有效地在网关级别上运行。』

攻击者使用精心设计的网址和恶意广告系列进行网络诱骗系列活动,尝试从用户的浏览器中更改DNS设定。这种类型的攻击并不新鲜,黑客自2014年以来一直在使用类似的技术,2016年,一个名为RouterHunterBr 2.0的漏洞利用工具在网络上发布并使用了相同的恶意网址,但Radware目前还没有发现此工具的滥用行为。自6月12日以来,Radware已经记录了几次针对旧D-Link宽带路由器漏洞的感染尝试。

自2015年2月以来,多个宽带路由器(主要是D-Link)的多个漏洞已经公开在网络上:

  • Shuttle Tech ADSL Modem-Router 915 WM / 未经身份验证的远程DNS更改Exploit:http://www.exploit-db.com/exploits/35995/
  • D-Link DSL-2740R / 未经身份验证的远程DNS更改利用Exploit:http://www.exploit-db.com/exploits/35917/
  • D-Link DSL-2640B未经身份验证的远程DNS更改Exploit:https://www.exploit-db.com/exploits/37237/
  • D-Link DSL-2780B DLink_1.01.14 - 未经身份验证的远程DNS更改:https://www.exploit-db.com/exploits/37237/
  • D-Link DSL-2730B aU_2.01 - 身份验证绕过DNS更改:https://www.exploit-db.com/exploits/37240/
  • D-Link DSL-526B ADSL2 + AU_2.01 - 未经身份验证的远程DNS更改:https://www.exploit-db.com/exploits/37241/

一旦受害者存取假冒网站,他们将被要求提供银行信息,包括分行号码、账号、手机号码、PIN码、8位数PIN码和CABB号码。专家注意到,这系列活动中使用的网络诈骗网站在网址中被标记为不安全。Radware向攻击所针对的金融机构报告了这些活动,而且假冒网站已经下线。

Radware的建议:『检查设备和路由器使用的DNS服务器的便捷方式是透过http://www.whatsmydnsserver.com/等网站。只有过去两年未更新的宽带调制解调器和路由器才能被利用。更新将保护设备的拥有者,并防止设备被用于DDoS攻击或用于隐藏有针对性的攻击。』

守内安信息科技(上海)有限公司,是上海市政府及国家奖励支持的软件自主研发高科技创新企业,钻研于邮件过滤管理和网络内容安全,不断推陈出新,产品均取得国家版权局的计算机软件著作权。

主要的产品有:

  1. HMDS高性能邮件威胁防御系统
  2. Mail Archiving Expert电子邮件归档专家
  3. Mail SQR Expert电子邮件防泄密(审计)管理

关注“softnext守内安”公众号,获取更多资讯

登入

登入成功