Radware cho biết, đã theo dõi được hành vi độc hại nhắm vào các bộ định tuyến DSL của D-Link tại Brazil từ ngày 08/6. Tin tặc đang cố gắng sửa đổi thiết lập máy chủ DNS trong các bộ định tuyến tại Brazil bằng cách sử dụng một phương pháp khai thác từ năm 2015. Phương pháp khai thác này có thể thực hiện trên một số loại thiết bị DSL của D-Link. Tin tặc chỉ cần tìm trực tuyến các bộ định tuyến dễ bị tấn công và thay đổi thiết lập DNS của chúng. Các chuyên gia nhấn mạnh rằng, tấn công có thể được thực hiện mà không cần bất kỳ tương tác nào của người dùng.
Tin tặc thay đổi cách thiết lập DNS để chuyển hướng các thiết bị mạng đến các máy chủ DNS mà chúng kiểm soát. Các nhà nghiên cứu đã phát hiện hai máy chủ DNS lừa đảo được thực hiện trong chiến dịch tấn công này có địa chỉ IP 69.162.89.185 và 198.50.222.136. Hai máy chủ DNS này phân giải tên miền địa chỉ của các ngân hàng Banco de Brasil (www.bb.com.br) và Itau Unibanco (www.itau.com.br) sang địa chỉ giả mạo.
Cuộc tấn công diễn ra trong khi người dùng hoàn toàn không biết về sự thay đổi cài đặt trong bộ định tuyến. Tấn công này không cần tạo mới hoặc thay đổi URL trong trình duyệt của người dùng. Người dùng vẫn có thể sử dụng các trình duyệt với các phím tắt một cách bình thường, có thể nhập URL thủ công hoặc thậm chí sử dụng URL từ thiết bị di động như điện thoại thông minh hoặc máy tính bảng. Tuy nhiên, người dùng vẫn sẽ bị chuyển hướng đến trang web độc hại thay vì trang web hợp lệ được yêu cầu, bởi tấn công này sẽ thay đổi địa chỉ ở cổng kết nối chứ không phải tại địa chỉ mà người dùng sử dụng.
Các chiến dịch lừa đảo với URL được tạo thủ công và chiến dịch quảng cáo độc hại thay đổi cấu hình DNS trong trình duyệt của người dùng không phải các phương thức tấn công mới. Các kỹ thuật tấn công tương tự đã được sử dụng từ năm 2014. Năm 2016, một công cụ khai thác có tên RouterHunterBr 2.0 đã được công bố với việc sử dụng cùng một địa chỉ URL độc hại với tấn công lần này, nhưng hiện tại Radware chưa biết liệu đây có phải là bắt nguồn của tấn công lần này hay không. Radware đã theo dõi và ghi lại việc lây nhiễm cho một bộ định tuyến DSL D-Link cũ từ ngày 12/6/2018 URL độc hại được sử dụng trong chiến dịch xuất hiện dưới dạng:
- Shuttle Tech ADSL Modem-Router 915 WM / Thay đổi DNS từ xa chưa được xác thực. Khai thác http://www.exploit-db.com/exploits/35995/
- D-Link DSL-2740R / Khai thác thay đổi DNS từ xa chưa được xác thực http://www.exploit-db.com/exploits/35917/
- D-Link DSL-2640B Khai thác thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37237/
- D-Link DSL-2780B DLink_1.01.14 - Thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37237/
- D-Link DSL-2730B AU_2.01 - Thay đổi DNS bỏ qua xác thực https://www.exploit-db.com/exploits/37240/
- D-Link DSL-526B ADSL2 + AU_2.01 - Thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37241/
Khi nạn nhân truy cập vào các trang web giả mạo, họ sẽ được yêu cầu cung cấp các thông tin đăng nhập của tài khoản ngân hàng. Các chuyên gia nhận thấy, các trang web lừa đảo được sử dụng trong chiến dịch này được gắn cờ là không an toàn trong thanh địa chỉ URL. Hiện tại, Radware đã báo cáo chiến dịch này cho các tổ chức tài chính bị nhắm vào và các trang web giả mạo đã bị gỡ khỏi Internet.
Để phòng tránh tấn công này, người dùng cần kiểm tra máy chủ DNS của các thiết bị và bộ định tuyến đang sử dụng thông qua các trang web như http://www.whatsmydnsserver.com/.
Chỉ modem và bộ định tuyến không được cập nhật trong hai năm qua mới có thể bị tấn công. Do đó, việc kiểm tra thông tin và cập nhật kịp thời sẽ giúp người dùng tránh được cuộc tấn công này.
Nhật Minh (theo Tạp chí CyberDefense)
09:00 | 28/02/2018
08:00 | 19/10/2017
09:00 | 17/10/2017
15:00 | 17/05/2019
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
