Хакеры модифицировали настройки DNS более 100 тыс. маршрутизаторов, тем самым перенаправив пользователей на фишинговые страницы. Порядка 88% этих маршрутизаторов находятся в Бразилии, а перенаправление осуществляется только при попытке пользователя зайти на страницы электронного банкинга бразильских финансовых организаций.
Как сообщили ИБ-эксперты, вредоносная кампания продолжается уже как минимум с середины августа.
Злоумышленники сканируют пространство бразильских IP-адресов в поисках маршрутизаторов со слабыми паролями или вообще без паролей и в настройках меняют легитимный DNS интернет-провайдера на свой собственный. Все проходящие через скомпрометированные маршрутизаторы DNS-запросы перенаправляются на DNS-серверы злоумышленников, которые отправляют некорректные данные для 52 сайтов.
В основном эти сайты представляют собой страницы бразильских банков и хостинговых сервисов. При попытке зайти на них, пользователи попадают на фишинговые страницы, предназначенные для похищения их учетных данных.
Атаки осуществляются с помощью трех модулей: Shell DNSChanger, Js DNSChanger и PyPhp DNSChanger. Третий модуль является самым мощным. Он развернут на более ста облачных серверах Google, а в его распоряжении имеется 69 скриптов для брутфорса паролей 47 моделей маршрутизаторов с различными прошивками.
