L'exploit di GhostDNS stava facendo notizia l'anno scorso, quando è stato scoperto dai ricercatori NetLab di Qihoo 360.
Allora, i ricercatori si sono imbattuti in una diffusa campagna maligna che aveva dirottato di più 100,000 router domestici per modificare le impostazioni DNS e inondare gli utenti con pagine Web dannose. L'idea della campagna malware era di indurre gli utenti a visitare siti bancari specifici per raccogliere credenziali di accesso.
Ulteriori informazioni su GhostDNS e su come è stato trapelato il suo codice sorgente
GhostDNS è un kit di exploit del router che implementa richieste di falsificazione di richieste tra siti (CSRF). Questo viene fatto per modificare le impostazioni DNS e reindirizzare gli utenti alle pagine di phishing per raccogliere i dettagli di accesso. Apparentemente, gli analisti di malware hanno appena ricevuto un accesso illimitato al codice sorgente di questo malware pericoloso.
Ciò si è verificato a causa di un errore onesto: il codice sorgente completo e molte pagine di phishing sono state tutte compresse in un file RAR, chiamato KL DNS.rar… E caricato su una piattaforma di condivisione file. Il caricatore, tuttavia, non ha protetto con password l'archivio. Inoltre, l'autore del caricamento aveva installato l'antivirus Avast sul suo sistema, con Web Shield abilitato. Questa funzione protegge da contenuti online dannosi, che ha attivato i rilevamenti del kit di exploit del router.
Un anno fa (Maggio 2019), il nostro Avast Web Shield, una funzione del nostro programma antivirus che protegge le persone da contenuti Web dannosi, ha bloccato un URL dalla piattaforma di condivisione file sendpace.com. Si è scoperto che uno dei nostri utenti Avast non funzionava affatto, caricamento di un archivio RAR con contenuti dannosi sul server. Durante questa operazione l'utente ha dimenticato di disabilitare Avast Web Shield, e poiché l'archivio non era protetto da password, è stato analizzato automaticamente da Shield e ha attivato il nostro kit di exploit del router (Io) rilevazioni, I ricercatori Avast hanno condiviso il loro post sul blog, dettagliare questo curioso evento..
I ricercatori hanno quindi scaricato il file e scoperto il codice sorgente completo del kit exploit GhostDNS.
Il file KL DNS.rar scaricato dai ricercatori ha tutto il necessario per eseguire una campagna di dirottamento DNS di successo. Queste campagne vengono eseguite allo scopo di rubare i dettagli della carta di credito, credenziali per diversi siti Web, o qualsiasi altra informazione che gli utenti tendono a digitare.
Apparentemente, il codice sorgente GhostDNS è disponibile per la vendita su darknet. In 2018, il malware è stato venduto online per circa $450. Il codice sorgente di GhostDNS non è l'unica cosa che può essere acquistata. I dettagli della carta di credito rubati con il suo aiuto possono anche essere acquistati per circa $10-25, a seconda del numero di dettagli della carta. Secondo i ricercatori di Avast, questi dati erano ancora disponibili per l'acquisto ad aprile 2020.
Nel mese di ottobre 2019, si è verificato un altro curioso incidente che ha coinvolto i dati rubati della carta di credito. Uno dei più grandi negozi sotterranei per l'acquisto di dati di carte di credito rubati è stato violato da solo. Di conseguenza, più di 26 milioni di carte di credito e di debito dettagli sono stati estratti dal negozio.