Уже почти год бразильские пользователи страдают от кибератак, нигде больше в мире не встречающихся. Атаки проходят почти незаметно и могут привести к прямым финансовым потерям.

То, что происходит сейчас в Бразилии, должно стать предупреждающим сигналом для интернет-провайдеров и пользователей по всему миру, уверены эксперты. По их мнению, провайдеры и пользователи должны успеть принять соответствующие меры предосторожности, пока атаки не вышли за пределы Бразилии.

Вышеупомянутые атаки впервые были зафиксированы летом прошлого года специалистами компании Radware. По словам ИБ-экспертов, на то время неизвестные киберпреступники взломали порядка 100 тыс. домашних маршрутизаторов и модифицировали настройки DNS таким образом, чтобы при попытке воспользоваться сервисом online-банкинга жертва перенаправлялась на точную копию настоящего сайта.

По данным исследователей из Ixia, злоумышленники использовали не только копии сайтов бразильских банков, но также подделывали такие ресурсы, как Netflix, Google и PayPal, с целью похищения учетных данных пользователей.

Прошел год, но атаки не прекратились, отмечают эксперты Avast. Напротив, в первой половине 2019 года злоумышленники взломали около 18 тыс. маршрутизаторов в Бразилии и изменили их настройки DNS. Более того, методы атаки усложнились, а количество причастных к ним киберпреступников увеличилось.

По данным Avast, чаще всего пользователи становятся жертвами злоумышленников при посещении, спортивных сайтов, стриминговых видеосервисов и порталов «для взрослых». Размещенная на таких ресурсов реклама содержит вредоносный код, способный определять IP-адрес и модель маршрутизатора и подбирать к ним учетные данные по умолчанию из прилагающегося списка. Этот процесс занимает некоторое время, но пользователи обычно ничего не замечают, поскольку заняты просмотром видео.

Если взлом прошел успешно, вредоносная реклама внедряет дополнительный код, меняющий IP-адреса легитимных DNS-серверов на IP-адреса серверов, подконтрольных киберпреступникам. Когда в следующий раз устройство пользователя подключится к маршрутизатору, вместо полученных от провайдера IP-адресов нужных DNS-серверов оно получит IP-адреса серверов киберпреступников.

Источник: securitylab.ru