Les programmes malveillants GhostDNS sur les routeurs peuvent voler des données bancaires utilisateur

Les experts ont découvert que GhostDNS, un système sophistiqué de piratage DNS pour le vol de données, affecte plus de 100 000 routeurs - dont 87% au Brésil. Selon Netlab, une société spécialisée dans la sécurité de l'information, des logiciels malveillants ont été détectés dans 70 autres modèles, notamment des marques telles que TP-Link, D-Link, Intelbras, Multilaser et Huawei.

À l'aide de la méthode de phishing, l'objectif final de l'attaque est de découvrir les informations d'identification de sites importants, tels que les banques et les grands fournisseurs. Netlab at 360 records, qui a découvert l’escroquerie, les URL brésiliennes de Netflix, Santander et Citibank, font partie de ceux envahis par GhostDNS. Ensuite, apprenez tout sur les logiciels malveillants et apprenez à vous protéger.

LIRE: La grève dans le routeur atteint déjà des milliers de foyers au Brésil; éviter

Malware GhostDNS infeste plus de 100 000 routeurs et peut voler des données bancaires

Vous voulez acheter un téléphone cellulaire, une télévision et d'autres produits à prix bon marché? Savoir le comparer

Quelle est l'attaque?

Le logiciel malveillant signalé par Netlab sur 360 effectue une attaque appelée DNSchange. Généralement, cette arnaque tente de deviner le mot de passe du routeur sur la page de configuration Web à l'aide des identifiants définis par défaut par les fabricants, tels que admin / admin, root / root, etc. Une autre méthode consiste à ignorer l'authentification en analysant dnscfg.cgi. Avec un accès aux paramètres du routeur, les logiciels malveillants modifient l'adresse DNS par défaut, qui convertit les URL des sites souhaitables, tels que les banques, en adresses IP de sites malveillants.

GhostDNS est une version bien améliorée de cette tactique. Il possède trois versions de DNSChanger, appelées dans le shell même DNSChanger, DNSChanger et PyPhp DNSChanger. PyPhp DNSChanger est le module principal parmi les trois. Il a été déployé sur plus de 100 serveurs, principalement Google Cloud. Ensemble, ils rassemblent plus de 100 scripts d'attaque, destinés aux routeurs des réseaux Internet et intranet.

Comme si cela ne suffisait pas, il reste trois autres modules structurels dans GhostDNS, en plus de DNSChanger. Le premier est le serveur DNS Rouge, qui pirate les domaines des banques, des services de cloud et d’autres sites présentant des informations d’identité intéressantes pour les criminels. Le second est le système de phishing Web, qui extrait les adresses IP des domaines volés et interagit avec les victimes via de faux sites. Enfin, il y a le système d'administration Web, sur lequel les experts disposent encore de peu d'informations sur le fonctionnement.

Organigramme d'attaque promu par GhostDNS pour les routeurs

Risques de l'attaque

Le gros risque de l'attaque est que, avec le piratage DNS, même si vous entrez l'URL correcte de votre banque dans le navigateur, celui-ci peut être redirigé vers l'adresse IP d'un site malveillant. Ainsi, même lorsqu'un utilisateur identifie des modifications apportées à l'interface de la page, il est amené à croire qu'il se trouve dans un environnement sécurisé. Cela augmente les chances de saisir des mots de passe bancaires, des courriers électroniques, des services de stockage dans le cloud et d'autres informations d'identification pouvant être utilisées par les cybercriminels.

Quels routeurs ont été affectés?

Du 21 au 27 septembre, Netlab at 360 a trouvé un peu plus de 100 000 adresses IP de routeurs infectés. Parmi eux, 87, 8% - ou environ 87 800 - sont au Brésil. Toutefois, en raison des variations d’adresse, le nombre réel peut être légèrement différent.

Compteur de routeur infecté par GhostDNS

Les routeurs affectés ont été infectés par différents modules DNSChanger. Dans DNSChanger Shell, les modèles suivants ont été identifiés:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G / DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy Router
  • Routeurs MikroTiK
  • OIWTECH OIW-2415CPE
  • Routeurs Ralink
  • SpeedStream
  • SpeedTouch
  • Tente
  • TP-LINK TD-W8901G / TD-W8961ND / TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E / VIKING
  • VIKING / DSLINK 200 U / E

Déjà les routeurs affectés par DNSChanger Js étaient ceux-ci:

  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • Routeur GWR-120
  • Firmware Secutech RiS
  • SMARTGATE
  • TP-Link TL-WR841N / TL-WR841ND

Enfin, les périphériques concernés par le module principal, PyPhp DNSChanger, sont les suivants:

  • AirRouter AirOS
  • Antenne PQWS2401
  • Routeur C3-TECH
  • Routeur Cisco
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • ShareCenter D-Link
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • PNRT150M Routeur
  • Routeur sans fil N 300Mbps
  • Routeur WRN150
  • Routeur WRN342
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Routeur large bande sans fil N Tenda
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Routeurs de micrologiciels Wive-NG
  • ZXHN H208N
  • Zyxel VMG3312

Comment se protéger

La première étape consiste à modifier le mot de passe du routeur, en particulier si vous utilisez le code par défaut ou si vous utilisez un mot de passe faible. Il est également recommandé de mettre à jour le micrologiciel du routeur et de vérifier les paramètres si le DNS a changé.

Comment définir le mot de passe de votre routeur Wi-Fi

Ce que disent les fabricants

La société a contacté Intelbras, qui n’a pas connaissance de problèmes avec ses routeurs: "Nous vous informons que nous n’avons à ce jour enregistré aucun cas de blessure de nos utilisateurs à travers nos 14 canaux de service correspondant à la vulnérabilité des routeurs Intelbras." En ce qui concerne la sécurité, la société demande aux consommateurs de suivre la mise à jour régulière des équipements: "le contrôle et la disponibilité des microprogrammes mis à jour sont disponibles sur notre site Web (www.intelbras.com.br/downloads)".

Multilaser affirme également qu'aucun problème n'a été signalé jusqu'à présent. "Il n'y avait aucun contact client par le biais des canaux de service pouvant être connectés à l'événement. Multilaser conseille aux consommateurs de contacter l'assistance pour obtenir plus d'informations sur les mises à jour et les configurations des appareils de la marque."

D-Link signale que la vulnérabilité a déjà été signalée. Selon la déclaration envoyée à, la société a mis la solution à la disposition des utilisateurs de ses routeurs. "D-Link réitère l'importance de la mise à jour constante du firmware des routeurs par les utilisateurs, ce qui augmente la sécurité de l'équipement et de la connexion", ajoute-t-il.

TP-Link prétend être conscient du problème et recommande aux utilisateurs de maintenir le micrologiciel à jour et de modifier le mot de passe de leurs appareils. TP-Link est au courant des recherches portant sur la vulnérabilité de ses routeurs en tant que moyen de prévention de ce logiciel malveillant, TP-Link recommande de suivre les étapes suivantes:

  • Remplacez le mot de passe par défaut par un mot de passe plus complexe pour empêcher les intrus d’accéder aux paramètres du routeur.
  • Assurez-vous que votre routeur utilise la dernière version du microprogramme. Sinon, effectuez une mise à niveau pour empêcher l'exploitation de vulnérabilités plus anciennes. "

Huawei n'a pas commenté jusqu'à la publication de ce numéro.

Via Netlab à 360

Quel est le meilleur canal de routeur Wi-Fi? Découvrez dans le forum.