DNS-атаки на маршрутизаторы D-Link направлены на перехват трафика Gmail, PayPal и Netflix

DNS-атаки на маршрутизаторы D-Link направлены на перехват трафика Gmail, PayPal и Netflix

Злоумышленники уже отключили DNS-серверы, замеченные в предыдущих атаках, и перешли на другие.

image

На прошлой неделе SecurityLab сообщал о масштабной кампании, нацеленной на компрометацию потребительских маршрутизаторов, в частности, производства D-Link, ARG, DSLink, Secutech и TOTOLINK, в рамках которой злоумышленники взламывают устройства через известные уязвимости в прошивках, изменяют настройки DNS и перенаправляют трафик на вредоносные сайты. В кампаниях были задействованы в том числе ресурсы Google Cloud Platform.

Специалистам Bad Packets, выявившим атаки, не удалось определить, какие цели преследуют злоумышленники или какие сайты подменяют, однако исследователи из компании Ixia предоставили некоторые подробности. По их данным , преступники подменяют домены ряда бразильских банков, Gmail, PayPal, Netflix, Uber и, возможно, других сайтов (список доменов: GMail.com, PayPal.com, Netflix.com, Uber.com, caix.gov.br, itau.com.br, bb.com.br, bancobrasil.com.br, sandander.com.br, pagseguro.uol.com.br, sandandernet.com.br, cetelem.com.br).

Согласно новым данным, злоумышленники уже отключили DNS-серверы, замеченные в предыдущих атаках, и перешли на другие. При подключении к указанным выше доменам пользователи взломанных маршрутизаторов попадают на фишинговые страницы, работающие по HTTP.

По словам представителей Google, компания уже заблокировала мошеннические учетные записи и принимает меры по отслеживанию и удалению аккаунтов, нарушающих правила использования сервиса.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.