Новая атака подменяет DNS-серверы в домашних роутерах

Пользователи в Бразилии столкнулись с масштабной атакой, которая имеет своей целью тайное изменение IP-адресов доменных серверов в настройках интернет-роутеров пользователей. В случае успешного проведения нападения, роутеры начинали использовать подложные DNS-серверы, направлявшие пользователей на фиктивные серверы с копиями систем онлайн-банкинга. Фабио Ассолини, специалист по информационной безопасности в «Лаборатории Касперского», говорит, что атака начинается со спам-рассылки, в которой получатели под разными предлогами вынуждаются перейти по ссылке. Ссылка ведет на сайт, который в фоновом режиме вынуждает браузер подгрузить специально сконструированный URL. Этот URL указывает на локальные адреса, которые, как правило исопльзуются домашними или SOHO роутерами. Одновременно с этим, сайт подгружает данные типа admin:admin или root:root, чтобы войти в интерфейс управления устройством. Если вход выполняется удачно, то вредоносный алгоритм изменяет скрипт dsncfg.cgi, отвечающий за конфигурирование доменной подсистемы. Атака целенаправленно ориентирована на бразильских пользователей, которые получают роутеры от интернет-провайдеров. Такие устройства, как правило, идут уже сконфигурированными, но без измененных паролей.