Новый вирус подменяет DNS-серверы в роутерах

Бразильские онлайн-пользователи столкнулись с глобальным кибернападением, которое имеет целью скрытую подмену IP-адресов доменов в пользовательских роутерах.

При успешности атаки роутеры начинали работать с фиктивными DNS-серверами, направляющими пользователей на сервера злоумышленников с копиями сервисов интернет-банкинга.

Одни из экспертов «Лаборатории Касперского» рассказал, что нападение начинается с рассылки спамовых email, в которых потенциальных жертв под каким либо правдоподобным предлогом вынуждают пройти по имеющейся в спам-сообщении ссылке, ведущей в действительности на сайт, вынуждающий пользовательский браузер загрузить «в фоне» преднамеренно сконструированный фальшивый URL какой либо банковской системы.

Данный URL показывает локальные адреса, используемые обычно домашними роутерами или роутерами SOHO. Вместе с этим, поддельный сайт начинает подгружать данные вроде admin:admin для входа в управляющий интерфейс устройства.

Если вход произойдет удачно, зловредный алгоритм проводит изменения в файле dsncfg.cgi, ответственном за конфигурацию доменной подсистемы.

В «Касперском» утверждают о специальной «бразильской» направленности данной атаки, производящейся против тех пользователей этой страны, которые получили свои роутеры непосредственно от онлайн-провайдеров, устройства которых обычно поставляются уже сконфигурированными на провайдера-поставщика.

Всего «Касперским» в ходе анализа «антибразильской» атаки было выявлено 5 зловредных доменов, а также 9 псевдодоменных серверов.