Radware cho biết, đã theo dõi được hành vi độc hại nhắm vào các bộ định tuyến DSL của D-Link tại Brazil từ ngày 08/6. Tin tặc đang cố gắng sửa đổi thiết lập máy chủ DNS trong các bộ định tuyến tại Brazil bằng cách sử dụng một phương pháp khai thác từ năm 2015. Phương pháp khai thác này có thể thực hiện trên một số loại thiết bị DSL của D-Link. Tin tặc chỉ cần tìm trực tuyến các bộ định tuyến dễ bị tấn công và thay đổi thiết lập DNS của chúng. Các chuyên gia nhấn mạnh rằng, tấn công có thể được thực hiện mà không cần bất kỳ tương tác nào của người dùng.
Tin tặc thay đổi cách thiết lập DNS để chuyển hướng các thiết bị mạng đến các máy chủ DNS mà chúng kiểm soát. Các nhà nghiên cứu đã phát hiện hai máy chủ DNS lừa đảo được thực hiện trong chiến dịch tấn công này có địa chỉ IP 69.162.89.185 và 198.50.222.136. Hai máy chủ DNS này phân giải tên miền địa chỉ của các ngân hàng Banco de Brasil (www.bb.com.br) và Itau Unibanco (www.itau.com.br) sang địa chỉ giả mạo.
Cuộc tấn công diễn ra trong khi người dùng hoàn toàn không biết về sự thay đổi cài đặt trong bộ định tuyến. Tấn công này không cần tạo mới hoặc thay đổi URL trong trình duyệt của người dùng. Người dùng vẫn có thể sử dụng các trình duyệt với các phím tắt một cách bình thường, có thể nhập URL thủ công hoặc thậm chí sử dụng URL từ thiết bị di động như điện thoại thông minh hoặc máy tính bảng. Tuy nhiên, người dùng vẫn sẽ bị chuyển hướng đến trang web độc hại thay vì trang web hợp lệ được yêu cầu, bởi tấn công này sẽ thay đổi địa chỉ ở cổng kết nối chứ không phải tại địa chỉ mà người dùng sử dụng.
Các chiến dịch lừa đảo với URL được tạo thủ công và chiến dịch quảng cáo độc hại thay đổi cấu hình DNS trong trình duyệt của người dùng không phải các phương thức tấn công mới. Các kỹ thuật tấn công tương tự đã được sử dụng từ năm 2014. Năm 2016, một công cụ khai thác có tên RouterHunterBr 2.0 đã được công bố với việc sử dụng cùng một địa chỉ URL độc hại với tấn công lần này, nhưng hiện tại Radware chưa biết liệu đây có phải là bắt nguồn của tấn công lần này hay không. Radware đã theo dõi và ghi lại việc lây nhiễm cho một bộ định tuyến DSL D-Link cũ từ ngày 12/6/2018 URL độc hại được sử dụng trong chiến dịch xuất hiện dưới dạng:
- Shuttle Tech ADSL Modem-Router 915 WM / Thay đổi DNS từ xa chưa được xác thực. Khai thác http://www.exploit-db.com/exploits/35995/
- D-Link DSL-2740R / Khai thác thay đổi DNS từ xa chưa được xác thực http://www.exploit-db.com/exploits/35917/
- D-Link DSL-2640B Khai thác thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37237/
- D-Link DSL-2780B DLink_1.01.14 - Thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37237/
- D-Link DSL-2730B AU_2.01 - Thay đổi DNS bỏ qua xác thực https://www.exploit-db.com/exploits/37240/
- D-Link DSL-526B ADSL2 + AU_2.01 - Thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37241/
Khi nạn nhân truy cập vào các trang web giả mạo, họ sẽ được yêu cầu cung cấp các thông tin đăng nhập của tài khoản ngân hàng. Các chuyên gia nhận thấy, các trang web lừa đảo được sử dụng trong chiến dịch này được gắn cờ là không an toàn trong thanh địa chỉ URL. Hiện tại, Radware đã báo cáo chiến dịch này cho các tổ chức tài chính bị nhắm vào và các trang web giả mạo đã bị gỡ khỏi Internet.
Để phòng tránh tấn công này, người dùng cần kiểm tra máy chủ DNS của các thiết bị và bộ định tuyến đang sử dụng thông qua các trang web như http://www.whatsmydnsserver.com/.
Chỉ modem và bộ định tuyến không được cập nhật trong hai năm qua mới có thể bị tấn công. Do đó, việc kiểm tra thông tin và cập nhật kịp thời sẽ giúp người dùng tránh được cuộc tấn công này.
Nhật Minh (theo Tạp chí CyberDefense)
09:00 | 28/02/2018
08:00 | 19/10/2017
09:00 | 17/10/2017
15:00 | 17/05/2019
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024