Un groupe de cybercriminels exploite depuis longtemps la vulnérabilité de plusieurs modèles de routeurs Dlink. Le trou trouvé vous permet de modifier à distance les paramètres du serveur DNS du routeur afin de rediriger l'utilisateur de l'appareil vers la ressource créée par les attaquants eux-mêmes. Ce qui dépend en outre du choix des cybercriminels eux-mêmes - ils peuvent voler les comptes des victimes ou offrir des services qui ressemblent à un service complètement «blanc» de la banque.
La vulnérabilité est pertinente pour des modèles tels que DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B et DSL-526B. Ils sont rarement mis à jour par quiconque, de sorte que les attaquants peuvent utiliser les vulnérabilités des micrologiciels obsolètes sans problème. Les détails peuvent être lus en détail
ici et
ici .
Les premiers à
connaître le problème ont été les représentants de Radware, une entreprise de cybersécurité. Il s'est avéré que tout cela a été conçu par des cybercriminels afin d'accéder aux comptes clients de deux des plus grandes banques brésiliennes - Banco de Brasil et Unibanco. Au lieu de serveurs de réseau bancaire, les utilisateurs ont été redirigés vers des serveurs contrôlés par des pirates.
Dans le même temps, les utilisateurs ne pouvaient pas comprendre ce qui se passait - ils n'étaient pas tentés d'être trompés par des liens de phishing et diverses fenêtres contextuelles. C'est juste qu'au lieu du site Web de la banque, l'utilisateur a accédé à un faux site Web, ce qui n'a pas causé presque aucun problème. Naturellement, la transition vers la ressource malware a été effectuée même si l'utilisateur a cliqué sur le lien dans les «Favoris» de son navigateur ou sur le raccourci URL situé sur le bureau.
De même, la transition se produit si, au lieu d'un PC, l'utilisateur travaille avec une tablette, un téléphone ou tout autre appareil exécutant un système d'exploitation. La condition principale pour effectuer une transition de malware est de se connecter à un routeur compromis.
Les sites des banques brésiliennes ont été choisis car leur accès peut être obtenu via HTTP, sans protection. Les visiteurs ne reçoivent donc aucun message indiquant que le site vers lequel ils sont redirigés est malveillant. Si l'utilisateur a installé HTTPS par défaut, alors dans ce cas, la victime potentielle reçoit un message sur le problème avec le certificat. Mais en même temps, il y a une option pour «accepter», et si l'utilisateur le sélectionne, ce que font la plupart des utilisateurs, alors la redirection fonctionne sans aucun problème. De plus, le site malveillant «prétend» être tout à fait normal. Si l'utilisateur est connecté au site réel de la banque, ses données sont redirigées vers le serveur des attaquants. Le site est contrôlé à partir de la même IP que le serveur DNS de l'attaquant.
Le site Web individuel vers lequel la transition est effectuée est similaire à la véritable ressource de la banque, de sorte que les utilisateurs qui ne sont pas trop avancés techniquement peuvent être facilement trompés. Pour autant que vous puissiez comprendre, le site des attaquants n'a pas encore été mis en place, les similitudes sont toujours purement externes, sans la fonctionnalité du site bancaire (simuler cela n'est pas trop difficile).
Après que la société qui a détecté l'attaque ait signalé le problème, la ressource DNS malveillante et les faux sites ont été fermés par la société d'hébergement propriétaire du serveur. Certes, cela cause certains inconvénients aux propriétaires de routeurs "modernisés". Le fait est que, puisque le serveur DNS est remplacé par un logiciel malveillant dans les paramètres matériels, il n'est plus en mesure de donner accès au réseau sans paramètres secondaires. C'est simple à faire, mais si l'utilisateur n'a aucune expérience et compréhension de ce qui se passe, le problème peut devenir grave.
Pour le moment, il s'agit de l'une des plus grandes attaques utilisant des routeurs. Une attaque similaire a été signalée en mai. Ensuite, environ un demi-million de périphériques réseau de différents fabricants ont été infectés. Après que les représentants du FBI ont été informés du problème, ils ont averti le service VPNFilter, avec lequel le logiciel malveillant fonctionnait, et le problème a également été résolu.
Et avant, des problèmes de ce genre étaient survenus. Ainsi, en 2016, des logiciels malveillants, appelés
DNSChanger , ont amené les équipes malveillantes à exécuter des commandes malveillantes. Ensuite, un serveur DNS malveillant a également été utilisé. Et tout comme maintenant, la transition vers des ressources malveillantes appartenant aux assaillants a été effectuée.
La meilleure protection contre les attaques de ce type est, d'une part, de mettre à jour le firmware de l'équipement, et d'autre part, d'utiliser un mot de passe fort. De plus, vous pouvez changer le DNS en vérifié - par exemple, 1.1.1.1 de Cloudflare ou 8.8.8.8 de Google.