钓鱼邮件利用路由器CSRF漏洞劫持巴西网民DNS

Posted 2021-04-25 FreeBuf

安全公司ProofPoint的研究人员于上周二发布了一个报告，报告中指出黑客正在通过更改DNS设置劫持巴西网民的网络连接。攻击者主要是利用家用路由器中存在的安全漏洞入侵，然后修改路由器DNS设置，这种攻击被称为pharming（网址嫁接攻击）。

FreeBuf科普：网址嫁接攻击

网址嫁接攻击是一种重新导向的诈骗技巧，由网络钓鱼衍生而来。主要通过在网页中植入木马或者利用域名服务器上的漏洞将受害者错误的引导到伪造的网站中，并伺机窃取证书和敏感信息。

从钓鱼开始发起CSRF攻击

安全研究人员从2014年12月份就开始观察这种行为了，他们发现攻击主要是从一封垃圾邮件开始的，并且查到这封垃圾邮件是从巴西最大的电信公司发出的，发送对象是UTStarcom和TP-Link家用路由器用户。这些邮件中都包含一个恶意链接，一旦受害者点击了这个链接，就会被重定向到一个含有该路由器跨站请求伪造（CSRF）漏洞利用程序（exploit）的页面上。

以前，攻击者会把primary和secondaryDNS记录都修改掉，但是据最近的观察发现，攻击者只会更改primaryDNS，而secondary DNS则会设置成谷歌公共DNS 8.8.8.8。

网址嫁接式攻击不易被发现，而且成功率非常高。所以建议用户使用老办法：更改路由器密码，越复杂越好。