Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   «В руки» ИБ-экспертам попался исходный код GhostDNS (http://txgate.io:443/showthread.php?t=16944)

Artifact 04-27-2025 04:58 AM

GhostDNS представляет собой набор эксплоитов для маршрутизаторов, который с помощью CSRF меняет настройки DNS.
https://www.securitylab.ru/upload/ib...d2ddb7eb06.png
Исследователям безопасности компании Avast удалось https://decoded.avast.io/simonamusil...e-code-leaked/неограниченный доступ к компонентам набора эксплоитов GhostDNS после того, как вредоносный пакет сам попался им «в руки».
GhostDNS представляет собой набор эксплоитов для маршрутизаторов, который с помощью межсайтовой подделки запросов (CSRF) меняет настройки DNS и переадресовывает пользователей на фишинговые страницы для похищения их учетных данных для авторизации на различных ресурсах (сервисах online-банкинга, новостных сайтах, стриминговых сервисах и пр.).
Весь исходный код набора эксплоитов вместе с фишинговыми страницами в виде RAR-архива был опубликован на файлообменном сайте беспечным пользователем, очевидно не преследовавшим никаких преступных целей. Пользователь не защитил архив паролем и оставил включенным антивирусное ПО Avast с активным компонентом Web Shield, защищающим от вредоносного web-контента, что дало аналитикам Avast возможность тщательно изучить GhostDNS.
«Мы загрузили связанный файл и обнаружили весь исходный код набора эксплоитов GhostDNS», – сообщили исследователи.
Название архива KL DNS.rar указывает на то, что инструмент использует перехват DNS (DNS hijacking) и кейлоггинг для похищения учетных данных своих жертв. Всего в архиве содержалось два метода осуществления атак на маршрутизаторы, Router EK и BRUT, и оба они использовали CSRF для изменения настроек DNS.
Router EK атакует из локальной сети и требует от пользователя нажатия на вредоносную ссылку. BRUT представляет собой сканер для поиска доступных через интернет маршрутизаторов и атак на них без участия пользователя.
Исследователи обнаружили список префиксов IP-адресов в 69 странах (чаще всего в Южной Америке). Для каждого префикса было просканировано 65 536 адресов. После того, как атакующий выбирал префикс, некоторые версии набора эксплоитов печатали название GhostDNS (с ошибкой – GostDNS вместо GhostDNS) с целью проинформировать операторов о выполнении CSRF.


All times are GMT. The time now is 07:04 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.