Les spécialistes ont découvert que GhostDNS, un système sophistiqué de stockage de DNS pour les données, est en charge de plus de 100 millions de serveurs – 87 % du Brésil. Selon Netlab, une entreprise spécialisée dans la sécurité des informations, des logiciels malveillants ont été découverts sur plus de 70 modèles, notamment des marques comme TP-Link, D-Link, Intelbras, Multilaser et Huawei, entre autres.
En utilisant la méthode de phishing, vous les attaquez comme objectif final de découvrir les informations d'identification de sites importants, comme des banques et de grands fournisseurs. Ils se sont enregistrés sur Netlab à 360, qui ont découvert ou consulté les URL brésiliennes de Netflix, Santander et Citibank pour certains des envahisseurs de GhostDNS. Ensuite, sachez tout sur les logiciels malveillants et apprenez à les protéger.
Les logiciels malveillants GhostDNS infectent plus de 100 millions de serveurs et peuvent déplacer des données bancaires — Photo : Reprodução/Pond5
Le malware signalé par Netlab à 360° a réalisé une attaque liée à DNSchange. En général, cette méthode consiste à identifier le capteur du routeur sur la page de configuration Web en utilisant les identifications définies par le fabricant, comme admin/admin, root/root, etc. Une autre méthode est notamment l'authentification explorée par dnscfg.cgi. Avec l'accès aux configurations du serveur, les logiciels malveillants modifient ou utilisent un tampon DNS – qui traduira les URL des sites souhaités, comme les banques – pour les IP des sites mal intentionnés.
Le GhostDNS est une version basée sur cette fonctionnalité. Il contient trois versions de DNSChanger, qui ont le code propre de Shell DNSChanger, Js DNSChanger et PyPhp DNSChanger. Le PyPhp DNSChanger est le module principal parmi les trois, qui est implanté dans plus de 100 serveurs, la plupart de Google Cloud. Ensemble, ils rassemblent plus de 100 scripts d'attaque, destinés aux routeurs sur les réseaux Internet et Intranet.
Comme il n'est pas possible de le faire, il y a aussi trois modules créés dans GhostDNS, ainsi que DNSChanger. Le premier est le serveur DNS Rouge, qui séquestre les domaines bancaires, les services du nouveau et d'autres sites avec des références intéressantes pour les criminels. Le deuxième est le système de phishing sur le Web, qui attache les adresses IP des domaines routés et facilite l'interaction avec de nombreux sites faux. Par exemple, le système d'administration Web, sur les spécialistes, a également des informations sur le fonctionnement.
Le grand risque d'attaque est que, comme le séquestre du DNS, vous devez même saisir une URL correcte de votre banque sur le navigateur, qui peut être redirigée vers l'adresse IP d'un site malveillant. En effet, même lorsqu'un utilisateur s'identifie dans l'interface de la page, il s'assure qu'il est dans un environnement sûr. Cela augmente les chances de numériser des services bancaires, des e-mails, des services d'armement au nouveau et d'autres crédibilités qui peuvent être utilisées par des cybercriminels.
Du 21 au 27 septembre, Netlab à 360° a rencontré plus de 100 millions d'adresses IP de serveurs infectés. Aujourd'hui, 87,8% – ou seja, environ 87.800 – est au Brésil. Cependant, en raison des variations entre les individus, le nombre réel peut être un peu différent.
Les roteadores sont infectés par différents modules DNSChanger. No Shell DNSChanger, les modèles suivants foram identifiés :
La première chose à faire est de changer le sens du tourne-disque, en particulier si vous utilisez le code padrão ou adoptez un sentiment de fracas. Il est également recommandé d'actualiser le micrologiciel du routeur et de vérifier les configurations si le DNS a été modifié.
Le TechTudo est entré en contact avec Intelbras, qui découvre tout problème avec ses tourneurs : « nous vous informons que nous n'avons pas encore le moment où nous avons enregistré un préjudice à nos utilisateurs pour mes 14 canaux d'assistance, correspondant à la vulnérabilité des tourneurs Intelbras ». En ce qui concerne la sécurité, l'entreprise oriente les consommateurs vers la rotation de mise à jour des équipements : « le contrôle et la disponibilité des firmwares mis à jour sont disponibles sur notre site (www.intelbras.com.br/downloads) ».
Le Multilaser confirme également qu’il n’y a aucun problème à ce jour. «Je n'ai pas de contact avec un client nenhum pour mes deux canaux d'attention qui pourraient être liés à l'ocorrido. A Multilaser oriente les consommateurs vers l'entrée en contact avec le support pour plus d'informations sur les mises à jour et les configurations des appareils de la marque ».
Une information D-Link indiquant qu'une vulnérabilité a déjà été signalée. Deuxièmement, le communiqué a été envoyé à TechTudo, une entreprise proposant une solution aux utilisateurs de ses tourneurs. « D-Link rappelle l'importance de la mise à jour constante du micrologiciel des processeurs rotatifs pour les utilisateurs, en vue de renforcer la sécurité des équipements et de la connexion », a-t-il ajouté.
TP-Link confirme qu'il y a un problème et recommande aux utilisateurs de maintenir le firmware à jour et de le contacter sur leurs appareils. Et TP-Link est un expert en matière de vulnérabilité de vos utilisateurs, comme moyen de prévention contre les logiciels malveillants potentiels, et TP-Link recommande de suivre les étapes suivantes :