HackerNews.cc8月13日消息 据外媒 Securityaffairs 报道，黑客瞄准巴西 D-Link DSL 的调制解调路由器，将用户重定向到伪造的银行网站进行 DNS 劫持。

        据 Radware 研究人员报道，通过这个手段，网络犯罪分子就会窃取银行账户的登录凭据。攻击者将指向网络设备的 DNS 设置更改为他们控制的 DNS 服务器，在此活动中，专家观察到黑客使用两个 DNS 服务器（69162.89185和1982 .50.222.136）。这两个 DNS 服务器解析 BANCO de BrasiL（www. bb.com.br）和 ITAUBANCOO（hostname www.itau.com.br）的逻辑地址，来伪造克隆。

        “自 6 月 8 日以来，该研究中心一直在跟踪黑客针对巴西 DLink DSL 调制解调路由器的恶意活动。通过对 2015 年漏洞的追溯，恶意代理试图修改在巴西路由器居民中的DNS配置，通过恶意 DNS 服务器对所有 DNS 请求进行重定向。”据 Radware 发布分析。

        黑客正在使用 2015 年的旧漏洞，它们可以在某些型号的 DLink DSL 设备上运行，并且只需要在线运行存在漏洞的路由器并更改其 DNS 设置。

        专家强调，劫持是在没有任何用户交互的情况下进行的。

       “用户对于变化是完全不知情的，从某种意义上来说，这种攻击是潜在的。劫持工作无需在用户浏览器中建立或更改 URL。用户可以使用任何浏览器及  它的常规快捷方式，用户可手动输入 URL ，甚至可以从移动设备（如智能手机或苹果电脑）使用它。” 据 Radware 发布警告。

        攻击者通过精心设计的网址和恶意广告进行网络钓鱼系列活动企图更改用户浏览器中的 DNS 配置。这种类型的攻击并不新鲜，黑客自 2014 年以来一直在使用类似的技术，2016 年，一个名为 RouterHunterBr 2.0 的漏洞开发工具在线发布并使用了相同的恶意网址，但 Radware 目前还没有发现此工具的滥用行为。

        自 6 月 12 日起，Radware 多次记录了针对 D-Link DSL 路由器漏洞的感染攻击。

关键字：