Ботнет GhostDNS заразил более 100 тыс. роутеров в Бразилии
ИТ-Безопасность
Бразильские пользователи атакованы ботнетом, который взламывает роутеры со слабыми паролями и перенаправляет своих жертв на поддельные банковские ресурсы.

С помощью фальшивых страниц злоумышленники стремятся получить учетные данные и реквизиты жертвы, чтобы выкрасть деньги со счета.

Скрипт изменяет данные DNS в настройках маршрутизатора, и всякий раз, когда пользователь пытается перейти на сайт одного из финансовых учреждений страны, он оказывается на фишинговом ресурсе преступников. Вредоносная сеть состоит из нескольких компонентов и уже собрала под свое крыло более 100 тыс. устройств.

Image: Qihoo 360

Подробности кампании, названной GhostDNS, изучили эксперты Qihoo 360. Исследователи выяснили, что структура ботнета включает в себя более 50 сайтов, имитирующих банковские ресурсы Бразилии, несколько модулей для взлома домашних роутеров, сеть криминальных DNS-серверов, а также веб-интерфейс для управления атакой. Зловред способен вскрывать прошивку более 70 моделей маршрутизаторов и использовать скомпрометированное устройство для поиска новых жертв.

В случае атаки, основанной на подмене DNS-сервера, посетителю фишингового сайта очень сложно определить подделку, поскольку криминальная страница имеет тот же адрес, что и легитимный ресурс. Жертва может использовать разные браузеры и даже разные устройства, но домашний роутер все равно будет перенаправлять ее на сайт злоумышленников.

Как выяснили аналитики, поддельные ресурсы имитируют страницы входа в личный кабинет онлайн-банка. Фишинговый сервер запрашивает у посетителя конфиденциальные сведения, такие как логин, пароль и PIN-код карты.

Ключевым элементом вредоносной кампании являются три скрипта, нацеленные на разные модели роутеров. Один из них, Shell DNSChanger, обладает подсистемой для поиска открытых портов, а также 25 shell-макросами, способными подбирать пароли и менять настройки для двух десятков маршрутизаторов. Скрипт обнаруживает доступное устройство в бразильском сегменте Интернета и взламывает его при помощи брутфорс-атаки.

Еще одним вектором заражения является ряд сайтов с установленным JavaScript-модулем Js DNSChanger. В отличие от shell-модуля, этот вредоносный макрос не только подменяет адрес DNS-сервера на скомпрометированном роутере, но и проводит поиск других устройств по локальной сети. В случае обнаружения еще одного маршрутизатора программа запрашивает в центре управления полезную нагрузку и пытается установить ее. Как выяснили ИБ-специалисты, скрипт нацелен лишь на шесть моделей коммуникационного оборудования.

Самой большой зоной поражения обладает PyPhp DNSChanger. Набор скриптов (на языках Python и PHP), объединенных центром управления для планирования атаки, был размещен на более чем ста серверах хостинга Google Cloud и других облачных хранилищ.

Вредоносный компонент включает в себя сканер, использующий ресурсы Masscan и Shodan для поиска уязвимых устройств. Эксперты Qihoo 360 обнаружили, что для доступа к API Shodan злоумышленники использовали краденый ключ, ранее принадлежавший одному исследовательскому проекту на Github.

Атакующая подсистема PyPhp DNSChanger состоит из 69 скриптов для взлома 47 различных роутеров. Как пояснили ИБ-специалисты, для проникновения на устройство криминальный модуль не только использует подбор пароля, но и эксплуатирует уязвимость файла dnscfg.cgi. Серверная часть зловреда содержит статистику заражения, благодаря чему исследователи смогли выяснить количество маршрутизаторов, скомпрометированных каждой программой.

Эксперты передали информацию о ботнете бразильским интернет-провайдерам, а также разработчикам облачных сервисов, используемых злоумышленниками. Microsoft, Oracle, Google и французский хостинг OVH уже заблокировали IP-адреса, с которых велась кибератака.

Кампании, направленные на подмену DNS в настройках роутера, фиксировались и ранее. Так, в конце 2016 года ИБ-специалисты заметили всплеск нападений, связанных с эксплойт-паком DNSChanger, нацеленным на 166 моделей маршрутизаторов. Аналитики отмечают, что GhostDNS отличается от предыдущих атак своими масштабами и скоростью распространения.