GhostDNS-Malware auf Routern kann Benutzerbankdaten stehlen

Experten haben festgestellt, dass GhostDNS, ein ausgereiftes DNS-Hijacking-System für Datendiebstahl, mehr als 100.000 Router betrifft - 87 Prozent davon in Brasilien. Laut Netlab, einem auf Informationssicherheit spezialisierten Unternehmen, wurde Malware in 70 anderen Modellen gefunden, darunter Marken wie TP-Link, D-Link, Intelbras, Multilaser und Huawei.

Das endgültige Ziel des Angriffs besteht darin, die Anmeldeinformationen wichtiger Websites wie Banken und große Anbieter zu ermitteln. Netlab bei 360 Datensätzen, die den Betrug aufdeckten, Netflix 'brasilianische URLs, Santander und Citibank waren einige der von GhostDNS angegriffenen Personen. Lernen Sie als Nächstes alles über Malware und lernen Sie, wie Sie sich schützen können.

LESEN: Streik im Router erreicht bereits Tausende von Häusern in Brasilien; vermeiden

Malware GhostDNS infiziert mehr als 100.000 Router und kann Bankdaten stehlen

Möchten Sie Handy, Fernseher und andere Rabattprodukte kaufen? Kennen Sie den Vergleich

Was ist der Angriff?

Die von Netlab unter 360 gemeldete Malware führt einen Angriff aus, der als DNSchange bezeichnet wird. Im Allgemeinen versucht dieser Betrug, das Router-Kennwort auf der Webkonfigurationsseite zu erraten, wobei die vom Hersteller standardmäßig festgelegten Kennungen wie admin / admin, root / root usw. verwendet werden. Eine andere Möglichkeit ist das Überspringen der Authentifizierung durch Scannen von dnscfg.cgi. Durch den Zugriff auf die Einstellungen des Routers ändert Malware die Standard-DNS-Adresse, die URLs von gewünschten Websites, beispielsweise Banken, in bösartige IP-Adressen von Websites.

GhostDNS ist eine wesentlich verbesserte Version dieser Taktik. Es gibt drei Versionen von DNSChanger, die in der Shell selbst DNSChanger, DNSChanger und PyPhp DNSChanger genannt werden. Der PyPhp DNSChanger ist das Hauptmodul unter den dreien, das auf mehr als 100 Servern, hauptsächlich Google Cloud, bereitgestellt wurde. Zusammen bringen sie mehr als 100 Angriffsskripts zusammen, die für Router in Internet- und Intranet-Netzwerken bestimmt sind.

Als ob das nicht genug wäre, gibt es in GhostDNS neben DNSChanger noch drei weitere Strukturmodule. Der erste ist der Rouge-DNS-Server, der die Domänen von Banken, Cloud-Services und anderen Sites mit interessanten Anmeldeinformationen für Kriminelle entführt. Das zweite ist das Web-Phishing-System, das IP-Adressen von gestohlenen Domänen entnimmt und über gefälschte Websites mit Opfern interagiert. Schließlich gibt es noch das Webadministrationssystem, über das die Experten noch wenig Informationen zur Operation haben.

Von GhostDNS unterstützter Angriffsablauf für Router

Risiken des Angriffs

Das größte Risiko des Angriffs besteht darin, dass bei DNS-Hijacking die URL der Bank auch in die Browser-URL eingetragen werden kann, wenn Sie die korrekte URL Ihrer Bank eingeben. Selbst wenn ein Benutzer Änderungen an der Benutzeroberfläche der Seite feststellt, glaubt er, dass er sich in einer sicheren Umgebung befindet. Dies erhöht die Wahrscheinlichkeit, dass Sie Bankkennwörter, E-Mails, Cloud-Speicherdienste und andere Anmeldeinformationen eingeben, die von Cyberkriminellen verwendet werden können.

Welche Router sind betroffen?

Im Zeitraum vom 21. bis 27. September fand Netlab bei 360 knapp über 100.000 IP-Adressen infizierter Router. Davon sind 87, 8% - oder rund 87.800 - in Brasilien. Aufgrund von Adressvariationen kann die tatsächliche Anzahl jedoch geringfügig abweichen.

GhostDNS Infected Router Counter

Die betroffenen Router wurden mit verschiedenen DNSChanger-Modulen infiziert. In der DNSChanger-Shell wurden die folgenden Modelle identifiziert:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy Router
  • MikroTiK-Router
  • OIWTECH OIW-2415CPE
  • Ralink-Router
  • SpeedStream
  • SpeedTouch
  • Zelt
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / E

Die von DNSChanger Js betroffenen Router waren bereits diese:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • GWR-120 Router
  • Secutech RiS Firmware
  • SMARTGATE
  • TP-Link TL-WR841N / TL-WR841ND

Schließlich sind die vom Hauptmodul PyPhp DNSChanger betroffenen Geräte die folgenden:

  • AirRouter AirOS
  • Antenne PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • PNRT150M Router
  • Wireless N 300 Mbit / s Router
  • WRN150 Router
  • WRN342 Router
  • Sapido RB-1830
  • TECHNIK LAN WAR-54GS
  • Tenda Wireless-N Breitband-Router
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG Firmware-Router
  • ZXHN H208N
  • Zyxel VMG3312

Wie schützen Sie sich?

Der erste Schritt besteht darin, das Passwort des Routers zu ändern, insbesondere wenn Sie den Standardcode verwenden oder ein schwaches Passwort übernehmen. Es wird außerdem empfohlen, die Router-Firmware zu aktualisieren und die Einstellungen zu überprüfen, wenn sich der DNS geändert hat.

So richten Sie Ihr WLAN-Router-Kennwort ein

Was sagen die Hersteller?

Das Unternehmen hat sich an Intelbras gewandt, das keine Probleme mit seinen Routern kennt: "Wir informieren Sie hiermit, dass wir bisher keinen registrierten Fall einer Verletzung unserer Benutzer über unsere 14 Servicekanäle registriert haben, die der Schwachstelle von Intelbras-Routern entsprechen." Im Hinblick auf die Sicherheit weist das Unternehmen die Verbraucher auf, mit der routinemäßigen Aktualisierung der Geräte Schritt zu halten: "Die Kontrolle und Verfügbarkeit der aktualisierten Firmware ist auf unserer Website (www.intelbras.com.br/downloads) verfügbar".

Multilaser behauptet auch, dass bisher keine Probleme gemeldet wurden. "Es gab keinen Kundenkontakt über die Servicekanäle, die mit der Veranstaltung verbunden werden könnten. Multilaser empfiehlt Kunden, sich an den Support zu wenden, um weitere Informationen zu Updates und Konfigurationen der Geräte der Marke zu erhalten."

D-Link meldet, dass die Sicherheitsanfälligkeit bereits gemeldet wurde. Gemäß der Erklärung, die an das Unternehmen gesendet wurde, stellte das Unternehmen die Lösung den Benutzern seiner Router zur Verfügung. "D-Link betont, wie wichtig es ist, die Firmware der Router ständig durch Benutzer zu aktualisieren, was die Sicherheit der Geräte und der Verbindung erhöht", fügt er hinzu.

TP-Link gibt an, über das Problem informiert zu sein, und empfiehlt Benutzern, die Firmware auf dem neuesten Stand zu halten und das Kennwort für ihre Geräte zu ändern. TP-Link ist sich der Erkenntnisse über die Anfälligkeit seiner Router bewusst, um diese mögliche Malware zu verhindern. TP-Link empfiehlt, die folgenden Schritte auszuführen:

  • Ändern Sie das Standardkennwort in ein komplexeres Kennwort, um zu verhindern, dass Eindringlinge auf die Routereinstellungen zugreifen.
  • Stellen Sie sicher, dass Ihr Router die neueste Firmware-Version verwendet. Wenn nicht, aktualisieren Sie, um zu verhindern, dass ältere Sicherheitsanfälligkeiten ausgenutzt werden. "

Huawei hat nicht kommentiert, bis diese Ausgabe veröffentlicht wurde.

Über Netlab bei 360

Was ist der beste WLAN-Routerkanal? Im Forum entdecken.

Beliebte Beiträge