✔Новая малварь GhostDNS заразила уже более 100 000 роутеров - «Новости»

08 октября 2018 760 Новости 0

GhostDNS имеет много общего с печально известной вредоносной программой DNSChanger. Она заражала компьютеры пользователей, изменяя настройки DNS, тем самым позволяя злоумышленникам маршрутизировать трафик через свой сервер и похищать конфиденциальные данные.

Отчет компании NetLab, подготовленный по заказу Qihoo 360, гласит, что как и DNSChanger, GhostDNS сканирует IP-адреса в поисках маршрутизаторов, которые используют слабый пароль или не используют его вовсе, после чего меняет адрес DNS-провайдера.

GhostDNS включает в себя четыре модуля, написанных на Shell, jаvascript, Python и PHP.

DNSChanger — основной модуль GhostDNS, предназначенный для эксплуатации целевых маршрутизаторов на основе собранной информации. Он состоит из трех подмодулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Каждый из них реализует несколько сценариев атак, ориентированных на разные модели маршрутизаторов (всего более 70).

Web Admin — вероятно, администраторская панель злоумышленников.

Rogue DNS — модуль, отвечающий за подмену адресов при резолве DNS.

Фишинговый веб-модуль — указывает на адрес фейковой версии подменяемого сайта.

Исследователям не удалось получить доступ к коду серверной части зловреда, чтобы узнать полный список подменяемых адресов. Однако проверив домены из первого миллиона в рейтинге Alexa, они обнаружили, что DNS-сервер злоумышленников, расположенный по адресу 139.60.162.188, подменяет 52 адреса, среди которых большинство — это онлайн-банки. Из популярных сервисов в списке присутствует Netflix.

По словам исследователей, с 21 по 27 сентября 2018 года кампания GhostDNS скомпрометировала более 100 000 маршрутизаторов, из которых 87,8% устройств находятся на территории Бразилии.

Чтобы обезопасить свой компьютер от этой и других схожих угроз рекомендуется обновить прошивку до последней версии и задать надежный пароль на панель администратора, а еще лучше — вообще отключить удаленное администрирование.

Источник новости - google.com

Китайские исследователи безопасности обнаружили вредоносную программу, которой были заражены уже более 100 000 домашних маршрутизаторов. GhostDNS меняет настройки DNS, чтобы получить доступ к данным пользователей, в первую очередь — к информации, которая пересылается при работе с онлайн-банкингом. GhostDNS имеет много общего с печально известной вредоносной программой DNSChanger. Она заражала компьютеры пользователей, изменяя настройки DNS, тем самым позволяя злоумышленникам маршрутизировать трафик через свой сервер и похищать конфиденциальные данные. Отчет компании NetLab, подготовленный по заказу Qihoo 360, гласит, что как и DNSChanger, GhostDNS сканирует IP-адреса в поисках маршрутизаторов, которые используют слабый пароль или не используют его вовсе, после чего меняет адрес DNS-провайдера. GhostDNS включает в себя четыре модуля, написанных на Shell, jаvascript, Python и PHP. DNSChanger — основной модуль GhostDNS, предназначенный для эксплуатации целевых маршрутизаторов на основе собранной информации. Он состоит из трех подмодулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Каждый из них реализует несколько сценариев атак, ориентированных на разные модели маршрутизаторов (всего более 70). Web Admin — вероятно, администраторская панель злоумышленников. Rogue DNS — модуль, отвечающий за подмену адресов при резолве DNS. Фишинговый веб-модуль — указывает на адрес фейковой версии подменяемого сайта. Исследователям не удалось получить доступ к коду серверной части зловреда, чтобы узнать полный список подменяемых адресов. Однако проверив домены из первого миллиона в рейтинге Alexa, они обнаружили, что DNS-сервер злоумышленников, расположенный по адресу 139.60.162.188, подменяет 52 адреса, среди которых большинство — это онлайн-банки. Из популярных сервисов в списке присутствует Netflix. По словам исследователей, с 21 по 27 сентября 2018 года кампания GhostDNS скомпрометировала более 100 000 маршрутизаторов, из которых 87,8% устройств находятся на территории Бразилии. Чтобы обезопасить свой компьютер от этой и других схожих угроз рекомендуется обновить прошивку до последней версии и задать надежный пароль на панель администратора, а еще лучше — вообще отключить удаленное администрирование. Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.