Le kit d'exploitation GhostDNS a fait la une des journaux l'an dernier, quand il a été découvert par les chercheurs NetLab de Qihoo 360.
À l'époque, les chercheurs sont tombés sur une campagne malveillante généralisée qui avait détourné plus de 100,000 routeurs à domicile pour modifier leurs paramètres DNS et inonder les utilisateurs de pages Web malveillantes. L'idée de la campagne contre les logiciels malveillants était d'attirer les utilisateurs vers des sites bancaires spécifiques pour collecter les informations de connexion.
En savoir plus sur GhostDNS et comment son code source a été divulgué
GhostDNS est un kit d'exploitation de routeur déployant des demandes de contrefaçon de requêtes intersites (CSRF). Ceci est fait pour modifier les paramètres DNS et rediriger les utilisateurs vers des pages de phishing pour récolter leurs informations de connexion. Apparemment, les analyseurs de logiciels malveillants viennent de recevoir un accès illimité au code source de ce logiciel malveillant dangereux.
Cela s'est produit en raison d'une erreur honnête - le code source complet et de nombreuses pages de phishing ont tous été compressés dans un fichier RAR, appelé KL DNS.rar… Et téléchargé sur une plateforme de partage de fichiers. L'uploader, cependant, n'a pas protégé par mot de passe l'archive. En outre, l'uploader avait installé l'antivirus Avast sur son système, avec le bouclier Web activé. Cette fonctionnalité protège contre le contenu en ligne malveillant, qui a déclenché des détections de kit d'exploitation de routeur.
Il y a un an (Mai 2019), notre Avast Web Shield, une fonctionnalité de notre programme antivirus protégeant les gens contre le contenu Web malveillant, bloqué une URL de la plateforme de partage de fichiers sendpace.com. Il s'est avéré que l'un de nos utilisateurs Avast n'était pas bon, télécharger une archive RAR avec du contenu malveillant sur le serveur. L'utilisateur a oublié de désactiver Avast Web Shield lors de cette opération, et comme l'archive n'était pas protégée par mot de passe, il a été automatiquement analysé par le bouclier et il a déclenché notre kit d'exploitation de routeur (Je) détections, Les chercheurs d'Avast ont partagé leur blog, détaillant cet événement curieux..
Les chercheurs ont ensuite téléchargé le fichier et découvert le code source complet du kit d'exploitation GhostDNS.
Le fichier KL DNS.rar que les chercheurs ont téléchargé contient tout le nécessaire pour mener à bien une campagne de piratage DNS réussie. Ces campagnes sont effectuées dans le but de voler les détails de la carte de crédit, informations d'identification sur différents sites Web, ou toute autre information que les utilisateurs ont tendance à taper.
Apparemment, le code source de GhostDNS est disponible à la vente sur le darknet. Dans 2018, le malware a été vendu en ligne pendant environ $450. Le code source de GhostDNS n'est pas la seule chose qui peut être achetée. Les détails de carte de crédit volés avec son aide peuvent également être achetés pour environ $10-25, en fonction du nombre de détails de la carte. Selon les chercheurs d'Avast, ces données étaient encore disponibles à l'achat en avril 2020.
En Octobre 2019, un autre incident curieux impliquant des données de carte de crédit volées s'est produit. L'un des plus grands magasins souterrains pour acheter des données de carte de crédit volées a été piraté. Par conséquent, plus que 26 millions de crédit et les détails de carte de débit ont été extraites du magasin.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: