Уязвимость в DSL-модемах позволяет заражать ПК банковским вредоносным ПО

Миллионы бразильских интернет-пользователей стали жертвами злоумышленников, которые заражали их компьютеры банковским вредоносным ПО. Для этого мошенники использовали уязвимости в DSL-модемах, заманивали пользователей на поддельные сайты популярных порталов и похищали их банковскую информацию.

Информацию об этой атаке обнародовал эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) на конференции Virus Bulletin в Далласе. CSRF-уязвимость в DSL-модемах позволяла злоумышленникам использовать простой сценарий для кражи паролей от системы управления устройствами. После этого мошенники изменяли настройки модемов для того, чтобы использовать DNS-серверы, находящиеся под контролем злоумышленников, и перенаправлять пользователей на фишинг-сайты.

В своем блоге Ассолини написал: «Это описание атаки, которая осуществляется в Бразилии с 2011 года. В рамках нападения используется 1 уязвимость в прошивке, 2 вредоносных сценария и 40 вредоносных DNS-серверов». По словам эксперта, жертвами злоумышленников стали 6 производителей оборудования, а также миллионы бразильских пользователей DSL-модемов.

Атака стала возможной в связи с бездействием ключевых игроков рынка, в том числе интернет-провайдеров, производителей модемов и бразильских правительственных органов, которые одобряют использование сетевых устройств, однако не протестировали уровень защиты модемов.

В настоящее время нет информации о производителях и моделях уязвимых модемов. Ассолини отмечает, что используемая уязвимость была обнаружена в начале 2011 года и вызвана драйвером для чипсета, который поставляется в комплекте с модемами, использующими оборудование от компании Broadcom.

Уязвимость позволяет осуществить CSRF-атаку, получить доступ к административной панели и перехватить пароль, установленный на уязвимом устройстве. Затем злоумышленники изменяли административный пароль для того, чтобы жертва не могла изменить настройки модема.

При посещении поддельных сайтов на компьютер пользователей устанавливалось вредоносное банковское ПО. В некоторых случаях для этого использовались уязвимости в программном обеспечении Java. Помимо этого, определенные пользователи сталкивались с уведомлением о необходимости установки специального плагина для того, чтобы получить доступ к последним изменениям, которые якобы были сделаны на сайтах.

По данным Ассолини, жертвами злоумышленников стали пользователи всех крупнейших интернет-провайдеров Бразилии. Некоторые поставщики интернет-услуг заявили, что 50% их клиентов пострадали от деятельности мошенников.