黑客劫持一家銀行的DNS,大肆洗劫受害者!
使用者名稱和密碼被人竊取數小時之久,惡意軟體被植入到了PC上。
野心勃勃的黑客不是一個一個地攻擊網上銀行客戶,而是掌控了一家巴西銀行的整套DNS基礎設施,從受害者處騙得了許多錢。
卡巴斯基實驗室的安全工程師詳細介紹了這起洗劫事件,這起事件在2016年10月22日週六持續了大約5個小時,之前一夥不法分子使用針對性攻擊,設法掌控了這家銀行的DNS託管服務。他們設法將這家銀行的所有36個域名統統轉移到使用來自Let’s Encrypt的免費HTTPS證書的虛假網站。這些網站偽裝成這家銀行的合法網上服務,誘騙上當受騙的人誤以為這些惡意伺服器是真實伺服器。
那樣一來,犯罪分子竊取了眾多客戶輸入到網站登入框中的使用者名稱和密碼。
卡巴斯基的高階安全研究員法比奧·阿索里尼(Fabio Assolini)在一篇博文中說:“所有域名(包括公司域名)都由不法分子控制。”他表示,攻擊者還接管了該銀行的電子郵件伺服器,那樣工作人員無法提醒客戶切勿登入。
在攻擊期間,每當客戶登入,他們實際上將詳細資訊拱手交給了攻擊者,所有這些資料都被髮送到了位於加拿大的一臺指揮和控制伺服器。此外,虛假網站以採用.zip格式的Java外掛檔案這種形式,將惡意軟體植入到了每個訪問者的計算機上:點選那些檔案,就會開始感染能夠執行惡意程式碼的系統。
惡意軟體有八個單獨的模組,包括竊取Microsoft Exchange和Thunderbird登入資訊的模組、本地通訊錄模組以及名為Avenger的程式模組。Avenger這個軟體是一款合法的rootkit刪除工具,可是被攻擊者篡改後,關閉了任何下載它的計算機上的安全軟體。
卡巴斯基實驗室拉美全球研究和分析團隊的負責人德米特里·貝斯杜謝夫(Dmitry Bestuzhev)說:“不法分子想利用這個機會來劫持那家銀行的業務系統,但同時還植入了可以從其他國家的銀行竊取錢財的惡意軟體。”
這種惡意軟體確實在其他地方四處肆虐,最後查明源頭就出在這家銀行。安全工作人員設法為這家銀行恢復了原始的DNS登入資訊,然而這次攻擊表明了極其嚴格地管理這些資料何等重要。
貝斯杜謝夫說:“想象一下,如果一名員工遭到了釣魚攻擊,攻擊者得以訪問DNS表,那麼情況會非常糟糕。要是DNS被犯罪分子所控制,你就死定了。”