O código-fonte do kit de exploração GhostDNS vazou

O código-fonte do kit de exploração GhostDNS vazou

Recentemente, todo o código-fonte do kit de exploração GhostDNS foi lançado na internet. Para quem não sabe o que é, o GhostDNS é um software que usa os métodos “CSRF (falsificação de solicitações entre sites)” para alterar as configurações de DNS e enviar páginas de phishing aos usuários para roubar suas credenciais de login.

O código-fonte do programa, bem como os arquivos de muitos sites diferentes de phishing, apareceu em um arquivo ZIP, que existe em uma plataforma de compartilhamento de arquivos. Como o usuário que enviou o arquivo não definiu um código de segurança, o aplicativo de proteção Avast pôde analisá-lo e descobrir o código do kit de exploração GhostDNS.

“Baixamos o arquivo para fins de pesquisa e descobrimos o código fonte do programa”, afirmou a empresa. Logo depois, a equipe do Avast Threat Intelligence compartilhou detalhes sobre como o GhostDNS funciona, bem como outros arquivos no KL DNS.rar.

Pelo nome do arquivo, parece que ele usa o seqüestro de DNS e o registro de chaves para roubar dados de suas vítimas. A Avast confirmou isso após uma verificação detalhada dos arquivos. A auditoria também revelou que o arquivo continha dois métodos diferentes de ataque, conhecidos como Router EK e BRUT.

Conforme mostrado na imagem abaixo, ambos os métodos usam solicitações de CSRF para alterar as configurações de DNS do dispositivo de destino. No entanto, o roteador EK não pode funcionar por si só, pois isso exige que o usuário abra o link infectado. Por outro lado, o método BRUT funciona sem a ajuda do usuário.

Além dos arquivos do kit GhostDNS, os pesquisadores descobriram uma lista que contém muitos endereços IP direcionados, encontrados em mais de 70 estados diferentes. Uma grande porcentagem desses endereços está localizada na América do Sul, Brasil, Austrália e Alemanha.

De acordo com a Avast, havia muitos modelos de phishing no arquivo. Alguns desses modelos copiam os sites dos maiores bancos do Brasil e o Netflix.