Gigantisches Botnet lenkt Traffic auf Phishing-Sites

Unbekannte Angreifer haben die DNS-Einstellungen von über 100.000 Routern geändert, um Nutzer zu Phishing-Seiten weiterzuleiten. Rund 88 Prozent dieser Router befinden sich in Brasilien, und die Weiterleitung erfolgt überwiegend, wenn Nutzer die Onlinebanking-Seiten brasilianischer Banken besuchen wollen.

Die Kampagne tobt bereits seit Mitte August, als die Sicherheitsfirma Radware die ersten Auffälligkeiten meldete. Wie das Network Security Research Lab von Qihoo 360 jetzt berichtet, haben die Hintermänner inzwischen ihre Angriffe verstärkt. Die Sicherheitsforscher fanden heraus, dass die Hacker systematisch die brasilianischen IP-Bereiche nach Routern scannen, die über keine oder nur schwache Passwörter verfügen. Wenn möglich, greifen sie dann auf die Router-Einstellungen zu und ersetzen die DNS-Vorgaben mit den IP-Nummern von Servern, die unter ihrer Kontrolle stehen. Diese wiederum liefern falsche Daten zu einer Liste von 52 verschiedenen Sites. Dabei handelt es sich meist um brasilianische Banken und Webhoster – wer sie besuchen will, landet stattdessen auf einer Phishing-Site, die seine Anmeldedaten abgreift.

Die Angreifer setzen dafür drei Module ein, die Netlab auf Shell DNSChanger, Js DNSChanger und PyPhp DNSChanger getauft hat – jeweils mit Bezug auf die Programmiersprachen, mit denen sie erstellt wurden. Das erste Modul kombiniert 25 Shell-Scripts, die mit Brute-Force-Attacken die Passwörter von 21 Routern oder Firmware-Packages knacken. Das zweite Modul ist eine Sammlung von 10 JS-Scripts, die ebenfalls Brute-Force-Attacken durchführen – aber nur auf bereits kompromittierten Routern, um andere Router und Geräte interner Netzwerke anzugreifen.

Das dritte und gefährlichste Modul ist mit einer Kombination von Python und PHP geschrieben. Laut Netlab kommt es auf über hundert Servern – meist auf Google Cloud – zum Einsatz, von wo aus die Angreifer permanente Internet-Scans zur Identifizierung anfälliger Router durchführen. Hier kommen 69 Scripts zum Brute-Force-Knacken der Passwörter von 47 verschiedenen Routern und Firmware-Packages zur Verwendung. Dieses Modul nutzt außerdem ein Exploit, um das Authentifizierungsverfahren einiger Router zu umgehen und ihre DNS-Einstellungen zu ändern.

Die Netlab-Forscher konnten auf den Admin-Bereich dieses dritten Moduls zugreifen und ersahen daraus, dass PyPhp DNSChanger allein bereits über 62.000 Router infiziert hatte. Es schien außerdem einen API-Key der Geräte-Suchmaschine Shodan gestohlen zu haben und zu nutzen, um anfällige Router gezielter zu ermitteln.

Die Sicherheitsforscher von Netlab haben dem wachsenden Botnet den Namen GhostDNS gegeben und die betroffenen Finanzinsitute und ISPs hinsichtlich der Phishing-Weiterleitungen gewarnt. In einem Blogeintrag beschreiben sie die Methoden der Angreifer und listen die anfälligen Router auf.

[mit Material von Catalin Cimpanu, ZDNet.com]

Bernd Kling

Recent Posts

Sport-Smartwatch Amazfit GTR ab 134 Euro erhältlich

Die kürzlich von Xiaomi-Zulieferer Huami vorgestellte Smartwatch Amazfit GTR bietet eine Laufzeit von bis zu 24 Tagen. Der 1,39 Zoll…

10 Stunden ago

Galaxy Note 8: Update bringt Juli-Sicherheitspatches

Das Juli-Sicherheitsupdate schließt mehrere kritische Sicherheitslücken. Laut den Release Notes enthält die Aktualisierung ansonsten keine Verbesserungen.

12 Stunden ago

Bericht: Google Pixel 4 kommt mit neuen Sensoren und verzichtet auf Notch

Render-Bilder zeigen oberhalb des Displays einen vergleichsweise breiten Rand. Darin sind neben einem Lautsprecher und zwei Kameras auch zwei übereinander…

13 Stunden ago

Pegasus: NSO Group verfügt über Spionage-Tool für Smartphones und Cloud-Konten

Es kopiert Authentifizierungsschlüssel für Konten von Google, Apple, Facebook, Amazon und Microsoft. Die Schlüssel geben Nutzern des Tools uneingeschränkten Zugriff…

15 Stunden ago

VLC Media Player: Kritische Schwachstelle entdeckt

Sie erlaubt die Ausführung von Code aus der Ferne. Das ist offenbar aber nur über das Laden einer präparierten Videodatei…

17 Stunden ago

Xiaomi Mi 9 mit 128 GByte für unter 350 Euro

Die 64-GByte-Version hat der chinesische Online-Shop Gearbest für etwa 322 Euro im Angebot. Gegenüber hiesigen Händlern spart man zwischen 54…

18 Stunden ago