Malware GhostDNS Beraksi, Lebih Dari 100 Ribu Router Di Brazil Terinfeksi

Malware GhostDNS – Semakin banyak ancaman internet siap menghadang pengguna, dan kini malware terbaru yang diungkap oleh Peneliti keamanan di Netlab benar-benar bisa mengejutkan kita semua. Betapa tidak, malware ini mampu mengambil alih lebih dari 100 ribu router di negara Brazil.

Infeksi router yang telah tersebar luas di Amerika Selatan ternyata telah melakukan serangan phishing besar-besaran pada pengguna internet, dimana hal tersebut diungkap oleh perusahaan keamanan Netlab. Lebih dari 100.000 router telah dibajak oleh kode jahat dan saat ini mengarahkan lalu lintas ke situs phishing yang meniru berbagai halaman khususnya yang berkaitan dengan data penting pengguna, seperti akun bank, perusahaan telekomunikasi, ISP, outlet media dan bahkan Netflix.

Malware GhostDNS Beraksi, lebih dari 100 Ribu Router Di Brazil Terinfeksi

Malware tersebut telah diberi nama GhostDNS oleh firma keamanan, dan terdiri dari kombinasi skrip serangan kompleks yang membajak pengaturan router, menggantikannya dengan layanan DNS alternatif, yang kemudian melanjutkan untuk mengarahkan lalu lintas pengguna ke halaman ‘kloning’ untuk layanan daring utama.

Layanan redirection DNS ini dikenal sebagai Rouge dan bahkan berjalan di sejumlah layanan hosting cloud terkemuka seperti Amazon, OVH, Google, Telefonica dan Oracle. Netlab melacak perkembangan infeksi, dan cara kerjanya, dimana ini ternyata bisa mematikan layanan dengan penyedia jasa internet. NetLab mengungkap bahwa kasus tersebut telah menjalankan skema phising melalui pembajakan router sejak pertengahan Juni tahun ini. Netlab bahkan menyediakan diagram terperinci tentang bagaimana serangan itu bekerja.

Serangan itu dilakukan melalui empat tahapan. Pertama, Sistem Admin Web malware tersebut memindai internet untuk perangkat rentan, kemudian ikuti oleh DNSChanger yang sesuai dengan namanya, didukung oleh RougeDNS, jaringan server DNS yang kemudian mengalihkan ke server Phishing yang menghosting klon situs web terkenal.

Perusahaan menyatakan bahwa payload disampaikan melalui eksploitasi akses jarak jauh, dan mampu menjalankan lebih dari 100 skrip serangan yang mempengaruhi lebih dari 70 jenis router yang berbeda, yang DNSnya tunduk pada pembajakan. Setelah penjahat berhasil melakukan peretasan, perjalanan yang biasanya tidak berbahaya ke bank pengguna nantinya akan berubah menjadi mimpi buruk phishing yang memanen data pengguna, terlebih lagi permintaan HTTP dialihkan ke laman masuk yang dikloning.

Hingga saat ini, sebagian besar router yang terinfeksi berada di Brasil dengan jumlah hingga 87,8% dari router yang beredar di negara tersebut. Phishing ini tampaknya menargetkan perusahaan-perusahaan Brasil, yang juga hadir di seluruh kawasan Amerika Selatan, dengan puncaknya, lebih dari 100.000 router telah terinfeksi. Netlab saat ini sedang bekerja dengan penyedia layanan utama untuk meningkatkan kerentanan mereka dan mematikan server pengalihan DNS berbahaya yang mengarahkan pengguna ke situs phishing.