攻击者利用位于巴西的 DLink DSL 调制解调器路由器将 DNS 设置更改到受攻击者控制的一个 DNS 服务器。随后,攻击者将用户重定向至虚假的在线银行网站从而窃取用户的账户信息。
Radware 公司开展研究显示,攻击者通过利用代码可导致某些 DLink DSL 调制解调器/路由器上的 DNS 设置遭远程未经认证的更改,从而轻易扫描并编写大量易受攻击路由器的更改脚本,以便他们的 DNS 设置指向受攻击者控制的 DNS 服务器。
当用户尝试连接互联网上的网站时,首先查询 DNS 服务器将主机名如 www.google.com 解析至 IP 地址如 172.217.11.36。随后用户计算机连接至这个 IP 地址并启动目标连接。通过更改路由器上使用的名称服务器,用户将在不知不觉中被重定向至虚假恶意的站点。
该攻击中使用的恶意 DNS 服务器是 69.162.89.185 和 198.50.222.136。这些服务器导致 Banco de Brasil 在线银行 (www.bb.com.br) 和 ItauUnibanco(主机名称 www.itau.com.br)被重定向至虚假站点。
Radware 公司指出,这种方法的独特之处在于,劫持是在无需用户交互的情况下实施的。早在2014年以及2015年至2016年期间,通过构造 URL 和恶意广告活动的钓鱼攻击活动试图从用户浏览器内部更改 DNS 配置。2016年,一款利用工具 RouterHunterBr 2.0 被发布在互联网上并使用相同的恶意 URL,但尚未发现源自该工具的滥用情况。
用户访问的虚假网站几乎和真正的银行网站并无二致,除了前者要求用户提供银行机构码、银行账号、8位数 PIN 码、手机号码、卡 PIN 码以及 CABB 号码。随后这些信息遭攻击者收集。出现问题的唯一线索可能是,浏览器可能会提示“不安全的”或者出现证书警告信息。
这种攻击非常危险,因为用户计算机上并不存在钓鱼邮件或者发生变化的迹象,所有一切都是在路由器上完成的,因此对于用户而言,一切看似都没有问题。
研究人员指出,攻击的危险性在于,用户完全未意识到变化的存在。无需在用户浏览器中构造或更改 URL 即可发生劫持。用户能使用任意浏览器和常规快捷方式就能手动在 URL 中输入内容或甚至是从移动设备使用。用户仍然会被重定向至恶意网站,而劫持也会在网关级别执行。
Radware 已将此事告知银行,之后所有的恶意站点已被拿下。
Radware 推荐用户访问 http://www.whatsmydnsserver.com 站点,检查路由器配置的 DNS 服务器是否存在风险。随后用户可判断是否存在可疑服务器。
本文由360代码卫士翻译者BleepingComputer
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
