Клиенты ряда интернет провайдеров Бразилии перенаправлялись на фишинговые страницы.
Как сообщает Лаборатория Касперского, на протяжении последних нескольких дней ряд бразильских интернет провайдеров был подвержен атакам, направленным на отравление DNS кеша. В результате этих атак, при посещении популярных ресурсов миллионы пользователей перенаправлялись на вредоносные сайты.
Согласно приводимой сотрудниками ЛК статистике, в Бразилии зарегистрировано 73 миллиона подключенных к интернету компьютеров. Каждый из крупных провайдеров насчитывает 3-4 миллиона пользователей. «Если киберпреступник может изменить DNS кеш всего одного сервера, количество потенциальных жертв огромно», - заявил Фабио Ассолини (Fabio Assolini), эксперт Лаборатории Касперского.
Специалисты наблюдали за одной из проведённых атак, в ходе которой, при попытке посещения страницы Google, пользователю было предложено установить приложение Google Defence. В сообщении на сайте говорилось, что Google Defense требуется для нормальной работы операционной системы. На самом деле эта программа содержит вредоносный код, предназначенный для кражи банковских реквизитов.
Исследование IP адреса сервера, с которого выполняется загрузка вредоносного приложения, показало размещение на нем ряда файлов:
- Google_setup.exe
- google_setup.exe
- Google_Setup.exe
- ad2.html
- flash.jar
- FaceBook_Complemento.exe
- ad.html
- AppletX.class
- YouTube_Setup.exe
- FlashPlayer.class
- google2.exe
- crossdomain.xml
- favicon.ico
Один из обнаруженных файлов (ad.html) представляет зашифрованный сценарий, эксплуатирующий известную уязвимость выполнения произвольного кода на старой инсталляции JRE. Задача этого эксплоита, состоит в том, чтобы после компрометации системы запустить загрузку одного из вредоносных приложений.
Помимо атак на домашних пользователей, несколько компаний Бразилии заявили об атаках на их устройства, в ходе которых злоумышленники подключались к маршрутизаторам и модемам корпоративных сетей, изменяя в них настройки DNS.
После успешного проведения подобных атак, при попытке открытия определенных web-страниц, сотрудникам компаний предлагалось загрузить вредоносный Java апплет, осуществляющий кражу банковских реквизитов и, возможно, другую важную информацию.
Злоумышленники могли подключаться к сетевым устройствам, применяя давно известные уязвимости, а также используя другие бреши, например, установленные по умолчанию пароли.
Просмотреть уведомление «Лаборатории Касперского» можно здесь.
После обнаружения инцидентов безопасности, Федеральная полиция Бразилии арестовала 27-летнего сотрудника одного из местных интернет провайдеров. По официальным данным, он обвиняется в участии в преступной схеме, в рамках которой он на протяжении 10 месяцев осуществлял подмену DNS кеша провайдера, отправляя пользователей на фишинговые страницы. По всей видимости, данная схема не связана с массовым отравлением DNS кеша провайдеров Бразилии, но она была раскрыта в виду внимания полиции к данному вопросу.
Источник: securitylab.ru.
|