Hacker infiziert über 100.000 Heimrouter in Brasilien: Warum Hacker auf Brasilianer abzielen?

Berichten zufolge haben brasilianische Benutzer neue Arten von Router-Angriffen erlebt, die nirgendwo sonst auf der Welt zu finden waren. Das Schlimmste an dieser Routerattacke ist, dass sie für gehackte Benutzer direkte finanzielle Verluste verursachen kann. Seitdem hat der Vorfall im letzten Sommer begonnen und wurde erstmals von der Cybersicherheitsfirma Radware und einen Monat später von Netlab nach Sicherheitsuntersuchungen gesucht. Beide Sicherheitsunternehmen erfuhren, dass die Hacker-Gruppe über 100.000 Heimrouter in Brasilien infiziert hatte und auch ihre DNS-Einstellungen änderte. Schauen wir uns die Geschichte genauer an.

Radware- und Netlab-Forscher erklärten, Hacker hätten in Brasilien über 100.000 Heimrouter infiziert

Zu der Zeit, als das Sicherheitsunternehmen Radware und Netlab den Vorfall erläuterte, wurden die Änderungen an diesen Routern vorgenommen, die infizierte Benutzer zu böswilligen Websites weiterleiteten, wenn sie versuchten, E-Banking-Websites für bestimmte brasilianische Banken zu besuchen.

Darüber hinaus wurden einige Monate später ähnliche Arten von Router-Angriffen von der Intel-Firma Bad Packets beobachtet, die eine weitere Welle von Angriffen erklärte. Aber zu dieser Zeit vor allem gegen D-Link-Router, die auch auf brasilianischen ISPs gehostet wurden. Gleichzeitig leitete der Hacker die Zielbenutzer auf Phishing-Websites um, um ihre Anmeldeinformationen zu sammeln.

Laut Bericht hat die Avast Security Company diese Woche einen Bericht veröffentlicht und erklärt, dass die Angriffe nicht beendet wurden. Im ersten Halbjahr 2019 hätten Hacker die DNS-Stings von über 180.000 brasilianischen Routern infiziert und modifiziert. Interessanterweise gibt es eine Reihe von Sicherheitsforscherteams, die daran arbeiten, dieses Problem so schnell wie möglich zu beheben.

Weitere Informationen zum brasilianischen Router-Angriff: Wie findet der Hack statt?

Laut Avast-Sicherheitsforschungen von David Jusa und Alexej Savcin werden die Router der meisten brasilianischen Benutzer gehackt, wenn Sport-, Film- und Erwachsenen-Websites verschleiert werden. Hacker verfolgt ihre Online-Aktivitäten und verbreitet schädliche Anzeigen auf der Website, die sie besuchen möchten.

Auf diesen Websites führen irreführende Anzeigen spezielle Codes in den Browsern der Benutzer aus, um die IP-Adresse des Heimrouters, das Routermodell und Details zum Gerätemodell zu suchen und zu ermitteln. Sobald die IP-Adresse und das Modell des Routers von einem schlechten Akteur erkannt wurden, verwenden die böswilligen Anzeigen die Liste der Standardbenutzernamen und -kennwörter, um sich ohne deren Erlaubnis bei den Geräten der Benutzer anzumelden. Wenn der Router-Angriff erfolgreich ist, wird zusätzlicher bösartiger Code über bösartige Anzeigen eingefügt, wodurch die Standard-DNS-Einstellungen auf den Routern der Benutzer geändert werden und die IP-Adresse des DNS-Servers durch die von Hackern verwaltete IP-Adresse ersetzt wird.

Cyberkriminelle verwenden zu diesem Zweck SonarDNS, GhostDNS und das Navidada Hacking Tool

Weitere Untersuchungen von Avast-Forschern haben ergeben, dass Hacker zwei spezielle Kits wie GhostDNS und SonarDNS für diese Angriffe verwendet haben. Wenn wir über GhostDNS sprechen, ist es eines, das zum ersten Mal seit dem letzten Sommer entdeckt wurde. Navidada ist eine Variante von GhostDNS, die den Router von Avast-Benutzern im Februar mehr als 2,6 Millionen Mal infiziert hat. Seitdem wurde es über Malware-Kampagne verbreitet.

„Ist in der brasilianischen Underground-Hacking-Szene sehr beliebt und einige seiner Varianten gehören zu den aktivsten Exploit-Kits für brasilianische Router im Jahr 2019. Die GhostDNS-Variante Novidade hat allein im Februar mehr als 2,6 Millionen Mal versucht, die Router von Avast-Nutzern zu infizieren, und wurde über verbreitet drei Kampagnen. Laut Netlab360 besteht GhostDNS aus einem komplexen System mit einem Phishing-Websystem, einem Webadministrationssystem und einem Rogue-DNS-System. “

Das zweite ist SonarDNS, ein neues Botnetz, das Hacker anscheinend mit einem Penetrationstest-Framework namens Sonar.js als Backbone für ihre Infrastruktur neu definiert haben. Laut Avast-Forschern ist Sonar.js perfekt für Router-Angriffe. Diese schädliche JavaScript-Datei wird vom Angreifer zum Identifizieren und Freigeben von Exploits für interne Netzwerkhosts verwendet und zielt mit nur wenigen Codezeilen auf das Gerät ab.

Es ist jedoch immer noch unbekannt, warum sich der Angreifer noch nicht auf die Router außerhalb Brasiliens ausgebreitet hat. Sicherheitsforscher raten den Benutzern, Ihre Anmeldeinformationen vor schlechten Darstellern zu schützen, und geben die persönlichen Daten niemals an Dritte weiter. Wie auch immer, wir recherchieren sehr intensiv und werden trotzig ein Update veröffentlichen, falls es in Zukunft kommen wird. Für Anregungen oder Fragen schreiben Sie bitte in das Kommentarfeld unten.