DNS劫持瞄准巴西金融机构

义微笑

Crooks 正在瞄准巴西的 DLink DSL 路由器，通过更改 DNS 设置将用户重定向到伪造的银行网站。
据 Radware 研究人员报道，利用此策略网络犯罪分子就可以窃取银行账户的登录凭据。
攻击者将网络设备的 DNS 设置更改为指向他们控制的 DNS 服务器，在此行动中，专家观察到犯罪分子使用了两个 DNS 服务器：69.162.89.185 和 198.50.222.136。这两个 DNS 服务器将 Banco de Brasil（www.bb.com.br）和 Itau Unibanco（主机名www.itau.com.br）解析为虚假克隆的地址。
来自 Radware 发布的分析analysis，
自 6 月 8 日以来，该研究中心一直在跟踪针对巴西 DLink DSL 路由器的恶意活动。通过最早可追溯到 2015 年的旧漏洞，恶意代理修改巴西公民路由器中的 DNS 服务器设置，恶意 DNS 服务器重定向所有 DNS 请求。
恶意 DNS 服务器正在劫持对 Banco de Brasil（www.bb.com.br）主机名的请求，并重定向到托管在同一恶意 DNS 服务器上的虚假克隆网站，该服务器与合法的 Banco de Brasil 无关。
黑客使用最早可追溯到 2015 年的旧漏洞，这些漏洞影响某些型号的 DLink DSL 设备，只需攻击在线存在漏洞的路由器并更改其 DNS 设置即可。
专家强调，劫持是在无需用户交互的情况下进行的。
Radware 发布的警报如是说，
在用户完全不知道的情况下，攻击是很隐蔽的。劫持无需在用户的浏览器中构建或更改 URL。用户可以使用任何浏览器及常规快捷方式，用户可以手动输入 URL，甚至可以从移动设备（如智能手机或平板电脑）使用它。用户仍然会被指向恶意网站，而不是他们要求的网站，而且有效劫持在网关级别上运行。
攻击者使用精心设计的网址和恶意广告行动进行网上钓鱼，尝试从用户的浏览器中更改 DNS 配置。这种类型的攻击并不新鲜，黑客自 2014 年以来一直在使用类似的技术，2016 年，一个名为 RouterHunterBr 2.0 的漏洞利用工具在线发布并使用了相同的恶意 URL，但 Radware 目前还没有发现此工具的滥用行为。
自 6 月 12 日以来，Radware 已经记录了几次针对旧 D-Link DSL 路由器漏洞的感染。
攻击中使用的恶意网址为：
自 2015 年 2 月以来，多个 DSL 路由器（主要是 D-Link）的多个漏洞已在线发布：
· Shuttle Tech ADSL Modem-Router 915 WM / Unauthenticated Remote DNS Change. Exploit http://www.exploit-db.com/exploits/35995/
· D-Link DSL-2740R / Unauthenticated Remote DNS Change Exploit http://www.exploit-db.com/exploits/35917/
· D-Link DSL-2640B Unauthenticated Remote DNS Change Exploit https://www.exploit-db.com/exploits/37237/
· D-Link DSL-2780B DLink_1.01.14 – Unauthenticated Remote DNS Change https://www.exploit-db.com/exploits/37237/
· D-Link DSL-2730B AU_2.01 – Authentication Bypass DNS Change https://www.exploit-db.com/exploits/37240/
· D-Link DSL-526B ADSL2+ AU_2.01 – Unauthenticated Remote DNS Change https://www.exploit-db.com/exploits/37241/
一旦受害者访问虚假网站，他们将被要求提供银行信息，包括代理商号码，帐号，手机号码，卡片 pin 码，八位 pin 码和一个 CABB 号码。
专家注意到，攻击中使用的网上诱骗网站在 URL 地址中被标记为不安全。
Radware 向攻击所针对的金融机构报告了这些行动，目前，虚假网站已经离线。
Radware 推荐，
检查设备和路由器使用的 DNS 服务器的便捷方式是通过http://www.whatsmydnsserver.com/这样的网站。只有过去两年未更新的调制解调器和路由器才能被利用。更新将保护设备的所有者，并防止设备被用于 DDoS 攻击或隐藏有针对性的攻击