Бразильские провайдеры подвержены массовой хакерской атаке

Бразильские провайдеры подвержены массовой хакерской атаке

Клиенты ряда интернет провайдеров Бразилии перенаправлялись на фишинговые страницы.

Как сообщает Лаборатория Касперского, на протяжении последних нескольких дней ряд бразильских интернет провайдеров был подвержен атакам, направленным на отравление DNS кеша. В результате этих атак, при посещении популярных ресурсов миллионы пользователей перенаправлялись на вредоносные сайты.

Согласно приводимой сотрудниками ЛК статистике, в Бразилии зарегистрировано 73 миллиона подключенных к интернету компьютеров. Каждый из крупных провайдеров насчитывает 3-4 миллиона пользователей. «Если киберпреступник может изменить DNS кеш всего одного сервера, количество потенциальных жертв огромно», - заявил Фабио Ассолини (Fabio Assolini), эксперт Лаборатории Касперского.

Специалисты наблюдали за одной из проведённых атак, в ходе которой, при попытке посещения страницы Google, пользователю было предложено установить приложение Google Defence. В сообщении на сайте говорилось, что Google Defense требуется для нормальной работы операционной системы. На самом деле эта программа содержит вредоносный код, предназначенный для кражи банковских реквизитов.

Исследование IP адреса сервера, с которого выполняется загрузка вредоносного приложения, показало размещение на нем ряда файлов:

  • Google_setup.exe
  • google_setup.exe
  • Google_Setup.exe
  • ad2.html
  • flash.jar
  • FaceBook_Complemento.exe
  • ad.html
  • AppletX.class
  • YouTube_Setup.exe
  • FlashPlayer.class
  • google2.exe
  • crossdomain.xml
  • favicon.ico

Один из обнаруженных файлов (ad.html) представляет зашифрованный сценарий, эксплуатирующий известную уязвимость выполнения произвольного кода на старой инсталляции JRE. Задача этого эксплоита, состоит в том, чтобы после компрометации системы запустить загрузку одного из вредоносных приложений.

Помимо атак на домашних пользователей, несколько компаний Бразилии заявили об атаках на их устройства, в ходе которых злоумышленники подключались к маршрутизаторам и модемам корпоративных сетей, изменяя в них настройки DNS.

После успешного проведения подобных атак, при попытке открытия определенных web-страниц, сотрудникам компаний предлагалось загрузить вредоносный Java апплет, осуществляющий кражу банковских реквизитов и, возможно, другую важную информацию.

Злоумышленники могли подключаться к сетевым устройствам, применяя давно известные уязвимости, а также используя другие бреши, например, установленные по умолчанию пароли.

Просмотреть уведомление «Лаборатории Касперского» можно здесь .

После обнаружения инцидентов безопасности, Федеральная полиция Бразилии арестовала 27-летнего сотрудника одного из местных интернет провайдеров. По официальным данным, он обвиняется в участии в преступной схеме, в рамках которой он на протяжении 10 месяцев осуществлял подмену DNS кеша провайдера, отправляя пользователей на фишинговые страницы. По всей видимости, данная схема не связана с массовым отравлением DNS кеша провайдеров Бразилии, но она была раскрыта в виду внимания полиции к данному вопросу.

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться