GhostDNS kapade fler än 100 000 routrar

hacker-attack-cracker-cyberthreat-malware
Bildkälla: Pixabay / TheDigitalArtist

GhostDNS är så kallad malware – vilket enkelt kan förklaras som skadlig kod – som kapar routrar.

Det är kod som dirigerar om användarna till webbsajter som liknar legitima för banker och liknande, men som istället loggar alla inloggningsuppgifter åt cyberkriminella.

Säkerhetsforskare på Netlab var först med att avslöja GhostDNS och hur den skadliga koden fungerade.

Forskarna identifierade en extrem spridning till fler än 100 000 routrar över hela Sydamerika. Främst Brasilien är drabbad av GhostDNS. Den skadliga koden är komplex och använder flera skript för att ta över och ändra om i routrars inställningar.

Tillvägagångssättet är i princip identiskt varje gång. Först försöker malwaret hitta sårbarheter i mjukvaran till routern. Om kända sådana identifiera försöker koden knäcka säkerheten och ta sig in som administratör.

Väl inloggad med rättigheter som administratör kan GhostDNS göra precis vad den vill med routern.

Främst handlar det om att ställa in en alternativ DNS-tjänst. Denna gör att användarna dirigeras om till fejksajter som påminner om legitima sajter, exempelvis bankers och filmtjänsters.

Många kända sajter drabbade av GhostDNS

Användarna tror att det är rätt sajt, och använder sina inloggningsuppgifter. När det sker snappar sajten upp dessa och sparar dem åt cyberkriminella. Bland de äkta sajterna och tjänsterna som är bekräftat drabbade finner vi:

  • Amazon
  • OHV
  • Google
  • Telefonica
  • Oracle
  • Netflix

Netlab arbetar just nu med att identifiera hur koden bakom GhostDNS fungerar. Samtidigt försöker säkerhetsforskarna hitta ett sätt att stänga ner tjänsten bakom DNS:en som används. En process som ska vara igång i skrivande stund.

GhostDNS har varit verksam sen mitten på juni och har kunnat arbeta obehindrat med att infektera routrar. Förhoppningsvis är det nu stopp med det.

Brasilien rankas idag som det tredje mest Botnet-drabbade landet i världen. Enligt Spamhaus.com ska det finns 756 420 infekterade enheter i landet. Tvåa är Indien med 1 485 933 infektioner och Kina toppar listan med 1 666 901 infekterade enheter.

Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.