اكتشف المتخصصون أن GhostDNS، وهو نظام متطور لعزل DNS لبيانات البيانات، يتم تشغيله على أكثر من 100 مليون دوار – 87% من البرازيل. بموجب اتفاق مع Netlab، تم العثور على شركة متخصصة في أمن المعلومات، أو تم العثور على برامج ضارة في أكثر من 70 طرازًا، بما في ذلك العلامات التجارية مثل TP-Link، وD-Link، وIntelbras، وMultilaser، وHuawei، وغيرها.
باستخدام طريقة التصيد الاحتيالي، يكون الهجوم بمثابة الهدف النهائي لاكتشاف اعتمادات المواقع المهمة، مثل البنوك والمحافظين الكبار. هناك سجلات في Netlab على موقع 360، والتي تكتشف أو تلتقط، وعناوين URL البرازيلية من Netflix وSantander وCitibank من بعض الغزوات التي تسببها GhostDNS. تابع، اعرف كل شيء عن البرامج الضارة واكتشف كيفية حمايتها.
Malware GhostDNS يصيب أكثر من 100 مليون من البرامج الضارة ويمكنه سرقة البيانات المصرفية — الصورة: Reprodução/Pond5
تم الإبلاغ عن برامج ضارة بواسطة Netlab على نطاق 360 درجة لهجوم معروف مثل DNSchange. بشكل عام، يتم إرساله إلى جهاز التوجيه على صفحة تكوين الويب باستخدام معرفات محددة من قبل المصنعين، مثل المشرف/المسؤول، الجذر/الجذر، وما إلى ذلك. وهناك طريقة أخرى تتمثل في استكشاف مصادقة dnscfg.cgi. من خلال الوصول إلى إعدادات جهاز التوجيه، تعمل البرامج الضارة على تغيير عنوان DNS الذي يستهدفه - والذي يتاجر بعناوين URL للمواقع المرغوبة، مثل البنوك - لعناوين IP للمواقع سيئة التصميم.
GhostDNS هو إصدار جديد تمامًا من هذا التكتيك. إنها تحتوي على ثلاثة إصدارات من DNSChanger، ومكالمات بدون كود خاص من Shell DNSChanger، وJs DNSChanger، وPyPhp DNSChanger. PyPhp DNSChanger هو الوحدة الرئيسية بين ثلاثة، والتي يتم زرعها في أكثر من 100 خادم، ومعظمها من Google Cloud. إنهم يضمون أكثر من 100 نص هجومي موجهة إلى مدوّري الإنترنت والإنترانت.
بما أنه ليس بسيطًا، هناك ثلاث وحدات أخرى مبنية على GhostDNS، بالإضافة إلى DNSChanger. الأول هو خادم DNS Rouge، الذي يقوم بحجز النطاقات المصرفية والخدمات الجديدة والمواقع الأخرى باعتمادات مثيرة للاهتمام للمجرمين. الثاني هو نظام التصيد الاحتيالي على الويب، الذي يقوم بربط طلبات IP من نطاقات مختلفة ويؤدي إلى التفاعل مع الضحايا من خلال المزيد من المواقع المزيفة. بالمناسبة، يوجد نظام إدارة ويب، حول ما إذا كان المتخصصون لديهم ما يكفي من المعلومات التي تعمل.
الخطر الكبير للهجوم هو أنه، من خلال عزل DNS، حتى تقوم بكتابة عنوان URL الصحيح لمصرفك عبر المتصفح، فإنه يمكنك إعادة توجيه عنوان IP من موقع ضار. ومع ذلك، أثناء قيام المستخدم بالتعرف على التغييرات على واجهة الصفحة، فإنه يساعد المعتمد على أن يكون في بيئة آمنة. يزيد هذا من فرص استخدام الخدمات الرقمية المصرفية والبريد الإلكتروني وخدمات التخزين الجديدة وبيانات الاعتماد الأخرى التي يمكن استخدامها لمجرمي الإنترنت.
في الفترة من 21 إلى 27 سبتمبر، واجهت Netlab في 360 ما لا يزيد عن 100 مليون عنوان IP للمشغلين المصابين. المبلغ, 87,8% – أو ما يقرب من 87,800 – دولة في البرازيل. Contudo، devido à variacões dos déreços، o numero real may be a pouco diferente.
ينشأ المستخدمون المصابون بوحدات DNSChanger المختلفة. لا يوجد Shell DNSChanger، النماذج التالية من المنتديات المحددة:
إن العناية الأولى بالقطط هي تغيير مسار الدوار، خاصة إذا استخدمت رمزًا برمجيًا أو قمت بضربة واحدة. يوصى أيضًا بتحديث البرامج الثابتة لوحدة التوجيه والتحقق من تكويناتنا في حالة تغيير DNS.
O TechTudo entrou em contato com a Intelbras، que desconhece quelle issues em seus roteadores: "informamos que não temos até o momento nenhum caso registrado de prejuízo aos nossos uuários por meio de nossos 14 canais de atendimento، مراسلة نقطة ضعف دوارات Intelbras". فيما يتعلق بالسلامة، تتجه الشركة إلى المستهلكين للحفاظ على تحديث الأجهزة بشكل روتيني: "إن التحكم في توفر البرامج الثابتة المحدثة متاح على موقعنا (www.intelbras.com.br/downloads)".
يؤكد الليزر المتعدد أيضًا أنه لا علاقة له بالمشكلات الحالية. “لا يتعين عليك الاتصال بأي عميل من أجل أكثر من اثنتين من قنوات الحضور التي يمكن أن تكون مرتبطة بالمكان. يقوم Multilaser بتوجيه المستهلكين إلى التواصل مع أو دعم المزيد من المعلومات حول التحسين والتكوين من أجهزة العلامة التجارية.
يُعلمك D-Link أنه تم الإبلاغ عن وجود ثغرة أمنية. بعد التواصل الذي أرسلته TechTudo، قامت الشركة بتوفير الحلول لمستخدمي مدراءها. "يؤكد D-Link على أهمية التحديث المستمر للبرامج الثابتة للمحركات من قبل المستخدمين، من خلال تعزيز أمان الأجهزة والاتصال"، كاملاً.
تؤكد TP-Link أن المشكلة قديمة وتوصي المستخدمين بصيانة البرامج الثابتة وتحديثها والحفاظ على أجهزتهم. يعد TP-Link من أقدم الشركات التي تشير إلى نقاط الضعف لدى مشغليها، كطريقة للوقاية من هذه البرامج الضارة المحتملة، ويوصي TP-Link باتباع الخطوات التالية: