Gigantisches Botnet lenkt Traffic auf Phishing-Sites

Unbekannte Angreifer haben die DNS-Einstellungen von über 100.000 Routern geändert, um Nutzer zu Phishing-Seiten weiterzuleiten. Rund 88 Prozent dieser Router befinden sich in Brasilien, und die Weiterleitung erfolgt überwiegend, wenn Nutzer die Onlinebanking-Seiten brasilianischer Banken besuchen wollen.

Die Kampagne tobt bereits seit Mitte August, als die Sicherheitsfirma Radware die ersten Auffälligkeiten meldete. Wie das Network Security Research Lab von Qihoo 360 jetzt berichtet, haben die Hintermänner inzwischen ihre Angriffe verstärkt. Die Sicherheitsforscher fanden heraus, dass die Hacker systematisch die brasilianischen IP-Bereiche nach Routern scannen, die über keine oder nur schwache Passwörter verfügen. Wenn möglich, greifen sie dann auf die Router-Einstellungen zu und ersetzen die DNS-Vorgaben mit den IP-Nummern von Servern, die unter ihrer Kontrolle stehen. Diese wiederum liefern falsche Daten zu einer Liste von 52 verschiedenen Sites. Dabei handelt es sich meist um brasilianische Banken und Webhoster – wer sie besuchen will, landet stattdessen auf einer Phishing-Site, die seine Anmeldedaten abgreift.

Die Angreifer setzen dafür drei Module ein, die Netlab auf Shell DNSChanger, Js DNSChanger und PyPhp DNSChanger getauft hat – jeweils mit Bezug auf die Programmiersprachen, mit denen sie erstellt wurden. Das erste Modul kombiniert 25 Shell-Scripts, die mit Brute-Force-Attacken die Passwörter von 21 Routern oder Firmware-Packages knacken. Das zweite Modul ist eine Sammlung von 10 JS-Scripts, die ebenfalls Brute-Force-Attacken durchführen – aber nur auf bereits kompromittierten Routern, um andere Router und Geräte interner Netzwerke anzugreifen.

Das dritte und gefährlichste Modul ist mit einer Kombination von Python und PHP geschrieben. Laut Netlab kommt es auf über hundert Servern – meist auf Google Cloud – zum Einsatz, von wo aus die Angreifer permanente Internet-Scans zur Identifizierung anfälliger Router durchführen. Hier kommen 69 Scripts zum Brute-Force-Knacken der Passwörter von 47 verschiedenen Routern und Firmware-Packages zur Verwendung. Dieses Modul nutzt außerdem ein Exploit, um das Authentifizierungsverfahren einiger Router zu umgehen und ihre DNS-Einstellungen zu ändern.

Die Netlab-Forscher konnten auf den Admin-Bereich dieses dritten Moduls zugreifen und ersahen daraus, dass PyPhp DNSChanger allein bereits über 62.000 Router infiziert hatte. Es schien außerdem einen API-Key der Geräte-Suchmaschine Shodan gestohlen zu haben und zu nutzen, um anfällige Router gezielter zu ermitteln.

Die Sicherheitsforscher von Netlab haben dem wachsenden Botnet den Namen GhostDNS gegeben und die betroffenen Finanzinsitute und ISPs hinsichtlich der Phishing-Weiterleitungen gewarnt. In einem Blogeintrag beschreiben sie die Methoden der Angreifer und listen die anfälligen Router auf.

[mit Material von Catalin Cimpanu, ZDNet.com]

Bernd Kling

Recent Posts

Blockchain führt zu branchenübergreifendem Wandel

Blockchain wird in den nächsten Jahren einen branchenübergreifenden Wandel bewirken. Das ist das Ergebnis einer aktuellen Gartner-Studie. Voraussetzung für die…

4 Stunden ago

Zombieland v2: Windows und Linux erhalten Option zur Abschaltung von Intel TSX

Die CPU-Erweiterung ist anfällig für Malware-Angriffe. Sie gibt unter Umständen vertrauliche Informationen preis. Unter Windows lässt sich die Erweiterung mittels…

8 Stunden ago

Rückkehr des Razr: Motorola stellt Clamshell-Smartphone mit Falt-Display vor

Zusammengeklappt ist es nur 7,2 mal 9,4 Zentimeter groß. Aufgeklappt bietet es trotzdem ein 6,2-Zoll-Display. Im inneren stecken ein Qualcomm…

10 Stunden ago

Saugroboter Roborock S5 Max ausprobiert

Durch einen größeren Wassertank und eine elektrisch gesteuerte Wasserabgabe soll der Roborock S5 Max besonders beim Wischen Vorteile bieten.

1 Tag ago

Intel warnt vor Sicherheitslücken in Firmware von Server-Produkten

Sie stecken in der Firmware der Baseboard Management Controller. Sie wiederum dienen der Verwaltung von Servern auf einer Ebene unterhalb…

1 Tag ago

Malware-Attacken auf Krankenhäuser nehmen rasant zu

In den ersten neun Monaten beträgt das Plus rund 60 Prozent. Am häufigsten setzen Cyberkriminelle Trojaner wie Emotet und Trickbot…

1 Tag ago