GhostDNS udnyttelsessæt kom med overskrifter sidste år, da det første gang blev opdaget af Qihoo 360s NetLab-forskere.
Dengang, forskerne stødte på en udbredt ondsindet kampagne, der havde kapret mere end 100,000 hjem routere til at ændre deres DNS-indstillinger og oversvømme brugere med ondsindede websider. Ideen med malware-kampagnen var at lokke brugere til at besøge specifikke banksider for at høste loginoplysninger.
Mere om GhostDNS og hvordan dens kildekode blev lækket
GhostDNS er et routerudnyttelsessæt, der implementerer anmodninger om forfalskning på tværs af websteder (CSRF). Dette gøres for at ændre DNS-indstillinger og omdirigere brugere til phishing-sider for at høste deres loginoplysninger. Tilsyneladende, malware-analysister har lige fået ubegrænset adgang til kildekoden til denne farlige malware.
Dette skete på grund af en ærlig fejl - den komplette kildekode og mange phishing-sider blev alle komprimeret i en RAR-fil, kaldet KL DNS.rar… Og uploadet til en fildelingsplatform. Uploaderen, dog, beskyttede ikke arkivet med adgangskode. Endvidere, uploaderen havde Avast-antivirus installeret på sit system, med Web Shield aktiveret. Denne funktion beskytter mod ondsindet online indhold, som udløste routerudnyttelse af kit-detektioner.
For et år siden (Maj 2019), vores Avast Web Shield, en funktion i vores antivirusprogram, der beskytter folk mod ondsindet webindhold, blokerede en URL fra fildelingsplatformen sendspace.com. Det viste sig, at en af vores Avast-brugere ikke var noget godt, uploade et RAR-arkiv med skadeligt indhold til serveren. Brugeren glemte at deaktivere Avast Web Shield, mens han gjorde dette, og da arkivet ikke var adgangskodebeskyttet, det blev automatisk analyseret af Shield og det udløste vores routerudnyttelsessæt (Jeg) opdagelser, Avast-forskere delte i deres blogindlæg, der detaljerede denne nysgerrige begivenhed..
Forskerne downloadede derefter filen og opdagede den komplette kildekode til GhostDNS-udnyttelsessættet.
KL DNS.rar-filen, som forskerne downloadede, har alt, hvad der kræves for at køre en vellykket DNS-kapringskampagne. Disse kampagner udføres med det formål at stjæle kreditkortoplysninger, legitimationsoplysninger til forskellige websteder, eller andre oplysninger, som brugere har en tendens til at skrive.
Tilsyneladende, GhostDNS-kildekoden er tilgængelig for salg på darknet. I 2018, malware blev solgt online for ca. $450. GhostDNS-kildekode er ikke det eneste, der kan købes. Kreditkortoplysninger stjålet med dens hjælp kan også købes for ca. $10-25, afhængigt af antallet af kortoplysninger. Ifølge Avast-forskere, disse data kunne stadig købes i april 2020.
I oktober 2019, en anden nysgerrig hændelse, der involverede stjålne kreditkortoplysninger, skete. En af de største underjordiske butikker til køb af stjålne kreditkortdata blev hacket selv. Som et resultat, mere end 26 million kredit-og betalingskort detaljer blev udvundet fra butikken.