Новый вирус подменяет DNS-серверы в роутерах
Бразильские онлайн-пользователи столкнулись с глобальным кибернападением, которое имеет целью скрытую подмену IP-адресов доменов в пользовательских роутерах.
При успешности атаки роутеры начинали работать с фиктивными DNS-серверами, направляющими пользователей на сервера злоумышленников с копиями сервисов интернет-банкинга.
Одни из экспертов «Лаборатории Касперского» рассказал, что нападение начинается с рассылки спамовых email, в которых потенциальных жертв под каким либо правдоподобным предлогом вынуждают пройти по имеющейся в спам-сообщении ссылке, ведущей в действительности на сайт, вынуждающий пользовательский браузер загрузить «в фоне» преднамеренно сконструированный фальшивый URL какой либо банковской системы.
Данный URL показывает локальные адреса, используемые обычно домашними роутерами или роутерами SOHO. Вместе с этим, поддельный сайт начинает подгружать данные вроде admin: admin для входа в управляющий интерфейс устройства.
Если вход произойдет удачно, зловредный алгоритм проводит изменения в файле dsncfg.cgi, ответственном за конфигурацию доменной подсистемы.
В «Касперском» утверждают о специальной «бразильской» направленности данной атаки, производящейся против тех пользователей этой страны, которые получили свои роутеры непосредственно от онлайн-провайдеров, устройства которых обычно поставляются уже сконфигурированными на провайдера-поставщика.
Всего «Касперским» в ходе анализа «антибразильской» атаки было выявлено 5 зловредных доменов, а также 9 псевдодоменных серверов.
При успешности атаки роутеры начинали работать с фиктивными DNS-серверами, направляющими пользователей на сервера злоумышленников с копиями сервисов интернет-банкинга.
Одни из экспертов «Лаборатории Касперского» рассказал, что нападение начинается с рассылки спамовых email, в которых потенциальных жертв под каким либо правдоподобным предлогом вынуждают пройти по имеющейся в спам-сообщении ссылке, ведущей в действительности на сайт, вынуждающий пользовательский браузер загрузить «в фоне» преднамеренно сконструированный фальшивый URL какой либо банковской системы.
Данный URL показывает локальные адреса, используемые обычно домашними роутерами или роутерами SOHO. Вместе с этим, поддельный сайт начинает подгружать данные вроде admin: admin для входа в управляющий интерфейс устройства.
Если вход произойдет удачно, зловредный алгоритм проводит изменения в файле dsncfg.cgi, ответственном за конфигурацию доменной подсистемы.
В «Касперском» утверждают о специальной «бразильской» направленности данной атаки, производящейся против тех пользователей этой страны, которые получили свои роутеры непосредственно от онлайн-провайдеров, устройства которых обычно поставляются уже сконфигурированными на провайдера-поставщика.
Всего «Касперским» в ходе анализа «антибразильской» атаки было выявлено 5 зловредных доменов, а также 9 псевдодоменных серверов.
Ещё новости по теме:
18:20