Netlab的研究显示，在南美洲，互联网路由器普遍受到感染，并对毫无戒心的互联网用户进行了大规模的网络钓鱼攻击。令人震惊的100,000台路由器被恶意代码劫持，目前正在将流量重定向到网络钓鱼站点：模仿各大银行、电信公司、互联网服务提供商、媒体网，甚至Netflix的登录页。

恶意软件已被Netlab命名为GhostDNS，它由复杂的攻击脚本组合而成。这些脚本劫持路由器设置，用替代DNS服务替换它们，然后将流量引导至主要在线服务的“克隆”登录页面。 

DNS重定向服务称为Rouge，甚至可以在亚马逊、OVH、谷歌、Telefonica和Oracle等众多著名的云托管服务上运行。该网络自今年6月中旬以来一直在运行网络钓鱼计划， Netlab正在跟踪感染的进展及其内部运作，并一直与服务提供商联系以关闭网络。

Netlab提供了攻击如何运作的详细图表：

（来源: NetLab）

GhostDNS系统由四部分组成：DNSChanger模块，网络钓鱼Web模块，Web管理模块（它扫描互联网上的易受攻击的设备），Rogue DNS模块（是一个DNS服务器网络，然后重定向到网络钓鱼服务器）。

DNSChanger模块是GhostDNS的主要模块，负责信息的收集和利用。攻击者使用三个DNSChanger子模块对互联网和内联网网络上的路由器进行攻击。

该模块共包含100多个攻击脚本，影响70多种不同的路由器。

三个DNSChanger子模块：

Netlab声称有效载荷是通过远程访问漏洞提供的，这些路由器的DNS受到劫持。一旦用户的路由器被黑客入侵，HTTP请求被恶意重定向到克隆的登录页面，通常无害的银行之旅就会变成网络钓鱼噩梦，收集用户数据。

虽然绝大多数受感染的路由器位于巴西（占所有感染的87.8％），并且网络钓鱼明显针对巴西公司，但它也遍布整个南美洲，并且超过100,000个受感染的路由器。 Netlab正在与主要服务提供商合作，以修补他们的漏洞并关闭将用户推向网络钓鱼站点的恶意DNS重定向服务器。

（来源: NetLab）

Spamhaus.com将巴西评为全球僵尸网络感染排名第三位，共有756,420个受感染设备，仅次于印度（1,485,933次感染）和中国（感染1,666,901次）。

（来源：spamhaus——十大僵尸网络国家）

受感染IP地址的国家/地区列表：

以下是受感染路由器的网页标题列表：

安全公司Netlab，建议宽带用户更新其路由器系统，检查路由器的默认DNS服务器是否已更改，并为路由器Web门户设置更复杂的密码。还建议路由器厂商增加路由器默认密码的复杂性，并增强其产品的系统安全更新机制。

参考来源：

• ptsecurity

书籍推荐：

• 《加密与解密》

• 基普·欧文的《汇编语言：基于x86处理器》

• 王爽的《汇编语言》

• Charles Petzold著的《Windows程序设计》（以VC来讲解）

往期热门资讯：                                        

扫描二维码，获得更多新鲜资讯！