巴西正在进行的攻击诱使用户访问试图悄悄改变其家庭路由器域名系统设置的恶意网站。
如果攻击成功,则路由器会重新配置为使用流氓DNS服务器,以将受害者重定向到网络钓鱼卡巴斯基实验室的安全研究员Fabio Assolini在周二的博客文章中表示,该攻击始于垃圾邮件,它告诉收件人他们被骗,并要求他们点击一个链接。该链接会导致一个成人内容网站在后台强制浏览器加载专门制作的URL。
[更多阅读:如何从Windows PC删除恶意软件]
这些URL指向通常分配给本地网络的IP地址家庭路由器并包含默认路由器凭据,如admin:admin,root:root和admin:gvt12345。他们的目的是通过名为dsncfg.cgi的脚本来改变DNS服务器,该脚本是由一些巴西ISP(互联网服务提供商)向客户提供的DSL调制解调器和路由器的基于Web的管理界面的一部分。gvt12345密码表明路由器
我们发现巴西坏人积极使用5个域名和9个DNS服务器,他们都为最大的巴西银行托管钓鱼页面, 。
强迫浏览器代表用户在第三方网站上执行未授权操作的基于Web的攻击称为跨站请求伪造(CSRF)。该技术对很多路由器都有效,即使其所有者已经阻止从Internet访问路由器Web界面,并且在某些情况下,即使他们更改了路由器的默认密码也是如此。
2013年10月,一位名为Jakob Lell的安全研究员报告针对一些TP-Link路由器型号的CSRF攻击。该攻击中使用的URL包含admin:admin凭据,并且已经制作成可以更改其DNS设置。
“即使URL中提供了用户名/密码组合,浏览器也会忽略来自URL的凭据,并仍然尝试保存的凭证或先不验证,“Lell当时在一篇博客文章中表示。 “只有当这导致HTTP 401(未经授权)状态码时,浏览器才会重新发送请求和来自URL的凭据。”
这意味着,当默认路由器密码已更改但用户
安全公司Independent Security Evaluators的研究人员在2013年分析了10种流行的SOHO无线路由器模型,发现它们中的大多数容易受到基于Web的攻击研究人员在他们的报告中表示,“我们评估的大多数路由器都包含多个跨站点请求伪造漏洞,”研究人员在他们的报告中称。 “我们能够利用这些漏洞来添加管理用户帐户,更改密码或启用各种管理服务。 “
安全研究人员长期以来一直警告路由器存在CSRF漏洞的风险,但攻击者仅在过去几年才开始利用此类漏洞进行大规模攻击。
3月份,互联网安全研究机构Team Cymru报告称,全球攻击活动中超过300,000台家庭路由器已被入侵并且其DNS设置发生变化。 Assolini表示,2011年和2012年,攻击者利用漏洞改变了巴西450多万DSL调制解调器的DNS设置。然而,这种基于Web的CSRF技术对巴西攻击者来说是新的“,我们相信随着受害者数量的增加,这种技术将在他们中间迅速传播,”他表示,“
