Pharming Attack tấn công cài đặt DNS bộ định tuyến hộ gia đình

Pharming là kĩ thuật tấn công được tin tặc sử dụng để chuyển hướng lưu lượng mạng của người dùng đến một máy chủ web do tin tặc kiểm soát và thông qua đó để thay đổi cài đặt DNS độc hại.

Các nhà nghiên cứu tại Kaspersky Lab đã theo dõi xu hướng này gần đây, báo cáo trong tháng 9 năm ngoái về một chiến dịch tại Brazil tấn công vào bộ định tuyến các hộ gia đình thông qua việc kết hợp với tấn công drive-by và social-engineering nhằm đánh cắp thông tin ngân hàng và các thông tin nhạy cảm trên các dịch vụ nền tảng web.

Người dùng sẽ nhận được thư điện tử lừa đảo cảnh báo tài khoản đã quá hạn và cung cấp một đường dẫn đến cổng thanh toán giải quyết vấn đề. Trang web chứa mã độc sẽ thực hiện một tấn công cross-site request forgery vào lỗ hổng trong bộ định tuyến UTStarcom và TP-Link.

Trang web độc hại chứa iframe với JavaScript khai thác lỗ hổng CSRF trên các bộ định tuyến. Chúng cũng brute-forced trang quản lí của bộ định tuyến thông qua việc kết hợp các tên tài khoản/mật khẩu mặc định. Sau khi tin tặc đã truy cập vào bộ định tuyến, chúng có thể thay đổi cài đặt DNS để chuyển hướng đến trang mà chúng đang quản lí.

Xâm nhập bộ định tuyến có xu hướng gia tăng trong thời gian gần đây. Một vài trường hợp như lỗ hổng Misfortune Cookie đã đặt khoảng 12 triệu thiết bị trong nguy cơ bị tấn công. Trong hội nghị bảo mật DEFCON, khoảng 15 lỗ hổng zero-day đã được báo cáo cho các nhà sản xuất bộ định tuyến.

Threatpost