Бесплатно Экспресс-аудит сайта:

05.09.2014

ЛК: Хакеры используют маршрутизаторы для атак на бразильских пользователей

Хакеры активно используют маршрутизаторы для осуществления атак на бразильских пользователей. По утверждениям Фабио Ассолини (Fabio Assolini) из «Лаборатории Касперского», при посещении жертвой вредоносных сайтов, злоумышленники незаметно меняют настройки DNS.

После внесенных изменений при попытках посетить сервисы online-банкинга жертвы перенаправляются на фишинговые страницы.

Для того чтобы потенциальная жертва зашла на вредоносный сайт, ей отправляется спам-письмо с сообщением об измене/обмане. В тексте также содержится ссылка, перейдя по которой пользователь попадает на сайт с контентом взрослого характера. Ресурс в фоновом режиме инициирует загрузку специально созданных URL-адресов.

URL-адреса, в свою очередь, указывают на IP-адреса локальной сети, назначаемые домашним маршрутизаторам. В большинстве случаев последние имеют стандартные учетные данные, такие как admin:admin, root:root и admin:gvt12345. Затем при помощи скрипта dsncfg.cgi происходит замена DNS-серверов.

По данным Ассолини, использование пароля gvt12345 свидетельствует о том, что в список жертв попадают пользователи бразильского провайдера GVT. Более того, злоумышленники активно используют 5 доменов и 9 DNS-серверов, обслуживающих фишинговые страницы для крупнейших банков Бразилии.

Порядка 60% всех отслеженных атак приходится на Бразилию, еще 20% - на США. В список атакуемых также попали пользователи из Китая, Канады, Мексики, Тайваня, Италии и пр.