Tijdens de laatste weken van vorig jaar en de eerste helft van januari hebben cybercriminelen een kleinschalige e-mailaanval uitgevoerd waarmee werd geprobeerd om verschillende modellen routers te kapen. De nog geen 100 e-mails waren aan Braziliaanse internetgebruikers gericht.
De e-mail leek van de grootste Braziliaanse telecomaanbieder afkomstig en bevatte een link naar een website. Deze website maakte misbruik van cross-site request forgery (CSRF)-kwetsbaarheden in de UTStarcom- en TP-Link-routers van de telecomaanbieder. De CRSF-aanval probeerde via verschillende standaardwachtwoorden en beheerdersnamen op de router in te loggen. In het geval de aanval succesvol was werden de DNS-servers van de router gewijzigd.
Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de DNS-kaping kan een aanvaller het verkeer van gebruikers manipuleren en gevoelige gegevens onderscheppen. Als gebruikers bijvoorbeeld naar hun banksite willen kunnen ze naar een andere pagina worden doorgestuurd. Bij de aanval op Braziliaanse gebruikers laat beveiligingsbedrijf Proofpoint, dat de campagne ontdekte, niet weten wat er via de aangepaste DNS-servers werd gedaan.
Bron: Security.nl