Il malware GhostDNS sui router può rubare i dati bancari degli utenti
Gli esperti hanno scoperto che GhostDNS, un sofisticato sistema di dirottamento del DNS per il furto di dati, sta colpendo più di 100.000 router, l'87% dei quali in Brasile. Secondo Netlab, un'azienda specializzata in sicurezza delle informazioni, il malware è stato trovato in altri 70 modelli, tra cui marchi come TP-Link, D-Link, Intelbras, Multilaser e Huawei, tra gli altri.
Utilizzando il metodo del phishing, l'obiettivo finale dell'attacco è scoprire credenziali di siti importanti, come banche e grandi fornitori. Netlab a 360 dischi, che ha scoperto la truffa, gli URL brasiliani di Netflix, Santander e Citibank sono stati alcuni di quelli invasi da GhostDNS. Successivamente, scopri tutto sul malware e scopri come proteggerti.
LEGGI: Strike in router giunge già a migliaia di case in Brasile; evitare
Malware GhostDNS infesta più di 100.000 router e può rubare dati bancari
Vuoi comprare il cellulare, la TV e altri prodotti scontati? Conoscere il confronto
Qual è l'attacco?
Il malware segnalato da Netlab a 360 esegue un attacco noto come DNSchange. In genere, questa truffa tenta di indovinare la password del router sulla pagina di configurazione Web utilizzando gli ID impostati di default dai produttori come admin / admin, root / root, ecc. Un altro modo è di saltare l'autenticazione eseguendo la scansione di dnscfg.cgi. Con l'accesso alle impostazioni del router, il malware modifica l'indirizzo DNS predefinito, che traduce gli URL da siti desiderati, come le banche, a indirizzi IP dannosi.
GhostDNS è una versione molto migliorata di questa tattica. Ha tre versioni di DNSChanger, chiamate nella shell stessa DNSChanger, DNSChanger e PyPhp DNSChanger. PyPhp DNSChanger è il modulo principale tra i tre, essendo stato distribuito su più di 100 server, principalmente Google Cloud. Insieme, riuniscono oltre 100 script di attacco, destinati ai router su Internet e sulle reti intranet.
Come se ciò non bastasse, ci sono ancora altri tre moduli strutturali in GhostDNS, oltre a DNSChanger. Il primo è il server DNS Rouge, che dirotta i domini di banche, servizi cloud e altri siti con credenziali interessanti per i criminali. Il secondo è il sistema di phishing web, che prende gli indirizzi IP dai domini rubati e interagisce con le vittime attraverso siti falsi. Infine, c'è il sistema di amministrazione web, sul quale gli esperti hanno ancora poche informazioni sull'operazione.
Diagramma di flusso di attacco promosso da GhostDNS ai router
Rischi dell'attacco
Il grande rischio dell'attacco è che con il dirottamento DNS, anche se si immette l'URL corretto della propria banca nel browser, è possibile reindirizzare verso l'IP di un sito dannoso. Quindi, anche quando un utente identifica le modifiche all'interfaccia della pagina, è portato a credere che si trovi in un ambiente sicuro. Ciò aumenta le possibilità di digitare password bancarie, e-mail, servizi di cloud storage e altre credenziali che possono essere utilizzate dai criminali informatici.
Quali router sono stati interessati?
Nel periodo dal 21 al 27 settembre, Netlab a 360 ha trovato poco più di 100.000 indirizzi IP di router infetti. Di questi, l'87, 8% - o circa 87, 800 - sono in Brasile. Tuttavia, a causa delle variazioni di indirizzo, il numero effettivo potrebbe essere leggermente diverso.
Contatore router infetto GhostDNS
I router interessati sono stati infettati da diversi moduli DNSChanger. In DNSChanger Shell sono stati identificati i seguenti modelli:
- 3COM OCR-812
- AP-ROUTER
- D-LINK
- D-LINK DSL-2640T
- D-LINK DSL-2740R
- D-LINK DSL-500
- D-LINK DSL-500G / DSL-502G
- Huawei SmartAX MT880a
- Intelbras WRN240-1
- Kaiomy Router
- MikroTiK Routers
- OIWTECH OIW-2415CPE
- Ralink Routers
- SpeedStream
- SpeedTouch
- tenda
- TP-LINK TD-W8901G / TD-W8961ND / TD-8816
- TP-LINK TD-W8960N
- TP-LINK TL-WR740N
- TRIZ TZ5500E / VIKING
- VIKING / DSLINK 200 U / E
I router interessati da DNSChanger Js erano già:
- A-Link WL54AP3 / WL54AP2
- D-Link DIR-905L
- Router GWR-120
- Firmware Secutech RiS
- SmartGate
- TP-Link TL-WR841N / TL-WR841ND
Infine, i dispositivi interessati dal modulo principale, PyPhp DNSChanger, sono i seguenti:
- AirRouter AirOS
- Antenna PQWS2401
- C3-TECH Router
- Router Cisco
- D-Link DIR-600
- D-Link DIR-610
- D-Link DIR-615
- D-Link DIR-905L
- D-Link ShareCenter
- Elsys CPE-2n
- Fiberhome
- Fiberhome AN5506-02-B
- Fiberlink 101
- GPON ONU
- Greatek
- GWR 120
- Huawei
- Intelbras WRN 150
- Intelbras WRN 240
- Intelbras WRN 300
- LINKONE
- MikroTik
- Multilaser
- OIWTECH
- Pftp-WR300
- QBR-1041 WU
- Router PNRT150M
- Wireless N 300Mbps Router
- Router WRN150
- Router WRN342
- Sapido RB-1830
- TECHNIC LAN WAR-54GS
- Tenda Wireless-N Broadband Router
- Thomson
- TP-Link Archer C7
- TP-Link TL-WR1043ND
- TP-Link TL-WR720N
- TP-Link TL-WR740N
- TP-Link TL-WR749N
- TP-Link TL-WR840N
- TP-Link TL-WR841N
- TP-Link TL-WR845N
- TP-Link TL-WR849N
- TP-Link TL-WR941ND
- Router firmware Wive-NG
- ZXHN H208N
- Zyxel VMG3312
Come proteggersi
Il primo passaggio consiste nel cambiare la password del router, soprattutto se si utilizza il codice predefinito o si utilizza una password debole. Si consiglia inoltre di aggiornare il firmware del router e controllare le impostazioni se il DNS è cambiato.
Come impostare la password del router Wi-Fi
Cosa dicono i produttori
La società ha contattato Intelbras, che non è a conoscenza di problemi con i propri router: "Con la presente si informa che fino ad ora non abbiamo registrato alcun caso di danno ai nostri utenti attraverso i nostri 14 canali di servizio corrispondenti alla vulnerabilità dei router Intelbras". Per quanto riguarda la sicurezza, l'azienda ordina ai consumatori di tenere il passo con il normale aggiornamento delle apparecchiature: "il controllo e la disponibilità del firmware aggiornato sono disponibili sul nostro sito web (www.intelbras.com.br/downloads)".
Multilaser afferma inoltre che non ci sono problemi segnalati finora. "Non c'era alcun contatto con il cliente attraverso i canali di servizio che potevano essere collegati all'evento. Multilaser consiglia ai consumatori di contattare l'assistenza per ulteriori informazioni sugli aggiornamenti e le configurazioni dei dispositivi del marchio."
D-Link segnala che la vulnerabilità è già stata segnalata. Secondo la dichiarazione inviata a, la società ha reso disponibile la soluzione agli utenti dei suoi router. "D-Link ribadisce l'importanza di aggiornare costantemente il firmware dei router da parte degli utenti, il che aumenta la sicurezza dell'apparecchiatura e della connessione", aggiunge.
TP-Link afferma di essere consapevole del problema e raccomanda agli utenti di mantenere aggiornato il firmware e di modificare la password dei propri dispositivi. TP-Link è a conoscenza della ricerca riguardante la vulnerabilità dei suoi router come un modo per prevenire questo possibile malware, TP-Link raccomanda di seguire i seguenti passi:
- Modificare la password predefinita con una password più complessa per impedire agli intrusi di accedere alle impostazioni del router;
- Assicurati che il tuo router stia utilizzando l'ultima versione del firmware. In caso contrario, esegui l'aggiornamento per evitare che le vulnerabilità più vecchie vengano sfruttate. "
Huawei non ha commentato fino a quando questo problema non è stato pubblicato.
Via Netlab a 360
Qual è il miglior canale router Wi-Fi? Scopri nel forum.
