Злоумышленники уже отключили DNS-серверы, замеченные в предыдущих атаках, и перешли на другие.
На прошлой неделе SecurityLab сообщал о масштабной кампании, нацеленной на компрометацию потребительских маршрутизаторов, в частности, производства D-Link, ARG, DSLink, Secutech и TOTOLINK, в рамках которой злоумышленники взламывают устройства через известные уязвимости в прошивках, изменяют настройки DNS и перенаправляют трафик на вредоносные сайты. В кампаниях были задействованы в том числе ресурсы Google Cloud Platform.
Специалистам Bad Packets, выявившим атаки, не удалось определить, какие цели преследуют злоумышленники или какие сайты подменяют, однако исследователи из компании Ixia предоставили некоторые подробности. По их данным , преступники подменяют домены ряда бразильских банков, Gmail, PayPal, Netflix, Uber и, возможно, других сайтов (список доменов: GMail.com, PayPal.com, Netflix.com, Uber.com, caix.gov.br, itau.com.br, bb.com.br, bancobrasil.com.br, sandander.com.br, pagseguro.uol.com.br, sandandernet.com.br, cetelem.com.br).
Согласно новым данным, злоумышленники уже отключили DNS-серверы, замеченные в предыдущих атаках, и перешли на другие. При подключении к указанным выше доменам пользователи взломанных маршрутизаторов попадают на фишинговые страницы, работающие по HTTP.
По словам представителей Google, компания уже заблокировала мошеннические учетные записи и принимает меры по отслеживанию и удалению аккаунтов, нарушающих правила использования сервиса.
