GhostDNS-exploitkit haalde vorig jaar de krantenkoppen, toen het voor het eerst werd ontdekt door de NetLab-onderzoekers van Qihoo 360.
Toen, de onderzoekers stuitten op een wijdverbreide kwaadaardige campagne die meer dan had gekaapt 100,000 home routers om hun DNS-instellingen aan te passen en gebruikers te overspoelen met kwaadaardige webpagina's. Het idee van de malwarecampagne was om gebruikers te verleiden bepaalde banksites te bezoeken om inloggegevens te verzamelen.
Meer over GhostDNS en hoe de broncode ervan is gelekt
GhostDNS is een router-exploitkit die vervalsingsverzoeken op verschillende sites implementeert (CSRF). Dit wordt gedaan om DNS-instellingen te wijzigen en gebruikers om te leiden naar phishing-pagina's om hun inloggegevens te verzamelen. Blijkbaar, malwareanalisten hebben zojuist onbeperkt toegang gekregen tot de broncode van deze gevaarlijke malware.
Dit gebeurde door een oprechte fout: de volledige broncode en veel phishing-pagina's waren allemaal gecomprimeerd in een RAR-bestand, riep KL DNS.rar… En geüpload naar een platform voor het delen van bestanden. De uploader, echter, heeft het archief niet met een wachtwoord beveiligd. Bovendien, de uploader had de Avast-antivirus op zijn systeem geïnstalleerd, met het Web Shield ingeschakeld. Deze functie beschermt tegen schadelijke online inhoud, die detecties van router-exploitkits veroorzaakte.
Een jaar geleden (Mei 2019), ons Avast Web Shield, een functie in ons antivirusprogramma dat mensen beschermt tegen kwaadaardige webinhoud, blokkeerde een URL van het bestandsuitwisselingsplatform sendspace.com. Het bleek dat een van onze Avast-gebruikers niet goed was, het uploaden van een RAR-archief met schadelijke inhoud naar de server. De gebruiker vergat hierbij het Avast Web Shield uit te schakelen, en aangezien het archief niet met een wachtwoord was beveiligd, het werd automatisch geanalyseerd door het Shield en het activeerde onze router-exploitkit (EK) detecties, Avast-onderzoekers deelden in hun blogpost, over deze merkwaardige gebeurtenis..
De onderzoekers hebben het bestand vervolgens gedownload en de volledige broncode van de GhostDNS-exploitkit ontdekt.
Het KL DNS.rar-bestand dat de onderzoekers hebben gedownload, heeft alles wat nodig is om een succesvolle DNS-kapingscampagne uit te voeren. Deze campagnes worden uitgevoerd om creditcardgegevens te stelen, inloggegevens voor verschillende websites, of andere informatie die gebruikers vaak typen.
Blijkbaar, de GhostDNS-broncode is te koop op het darknet. In 2018, de malware werd ongeveer online verkocht $450. De GhostDNS-broncode is niet het enige dat kan worden gekocht. Creditcardgegevens die met zijn hulp zijn gestolen, kunnen ook voor ongeveer worden gekocht $10-25, afhankelijk van het aantal kaartdetails. Volgens onderzoekers van Avast, deze gegevens waren in april nog beschikbaar voor aankoop 2020.
In oktober 2019, een ander merkwaardig incident met gestolen creditcardgegevens gebeurde. Een van de grootste ondergrondse winkels voor het kopen van gestolen creditcardgegevens zelf gehackt. Dientengevolge, meer dan 26 miljoen credit en debit card gegevens werden geëxtraheerd uit de winkel.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: