Crooks正在瞄准巴西的DLink DSL路由器，通过更改DNS设置将用户重定向到伪造的银行网站。

据Radware研究人员报道，利用此策略网络犯罪分子就可以窃取银行账户的登录凭据。

攻击者将网络设备的DNS设置更改为指向他们控制的DNS服务器，在此行动中，专家观察到犯罪分子使用了两个DNS服务器：69.162.89.185和198.50.222.136。这两个DNS服务器将Banco de Brasil（www.bb.com.br）和Itau Unibanco（主机名www.itau.com.br）解析为虚假克隆的地址。

来自Radware发布的分析analysis，

自6月8日以来，该研究中心一直在跟踪针对巴西DLink DSL路由器的恶意活动。通过最早可追溯到2015年的旧漏洞，恶意代理修改巴西公民路由器中的DNS服务器设置，恶意DNS服务器重定向所有DNS请求。

恶意DNS服务器正在劫持对Banco de Brasil（www.bb.com.br）主机名的请求，并重定向到托管在同一恶意DNS服务器上的虚假克隆网站，该服务器与合法的Banco de Brasil无关。

黑客使用最早可追溯到2015年的旧漏洞，这些漏洞影响某些型号的DLink DSL设备，只需攻击在线存在漏洞的路由器并更改其DNS设置即可。

专家强调，劫持是在无需用户交互的情况下进行的。

Radware发布的警报如是说，

在用户完全不知道的情况下，攻击是很隐蔽的。劫持无需在用户的浏览器中构建或更改URL。用户可以使用任何浏览器及常规快捷方式，用户可以手动输入URL，甚至可以从移动设备（如智能手机或平板电脑）使用它。用户仍然会被指向恶意网站，而不是他们要求的网站，而且有效劫持在网关级别上运行。

攻击者使用精心设计的网址和恶意广告行动进行网上钓鱼，尝试从用户的浏览器中更改DNS配置。这种类型的攻击并不新鲜，黑客自2014年以来一直在使用类似的技术，2016年，一个名为RouterHunterBr 2.0的漏洞利用工具在线发布并使用了相同的恶意URL，但Radware目前还没有发现此工具的滥用行为。

自6月12日以来，Radware已经记录了几次针对旧D-Link DSL路由器漏洞的感染。

攻击中使用的恶意网址为：

自2015年2月以来，多个DSL路由器（主要是D-Link）的多个漏洞已在线发布：

· Shuttle Tech ADSL Modem-Router 915 WM / Unauthenticated Remote DNS Change. Exploit http://www.exploit-db.com/exploits/35995/

· D-Link DSL-2740R / Unauthenticated Remote DNS Change Exploit http://www.exploit-db.com/exploits/35917/

· D-Link DSL-2640B Unauthenticated Remote DNS Change Exploit https://www.exploit-db.com/exploits/37237/

· D-Link DSL-2780B DLink_1.01.14 – Unauthenticated Remote DNS Change https://www.exploit-db.com/exploits/37237/

· D-Link DSL-2730B AU_2.01 – Authentication Bypass DNS Change https://www.exploit-db.com/exploits/37240/

· D-Link DSL-526B ADSL2+ AU_2.01 – Unauthenticated Remote DNS Change https://www.exploit-db.com/exploits/37241/

一旦受害者访问虚假网站，他们将被要求提供银行信息，包括代理商号码，帐号，手机号码，卡片pin码，八位pin码和一个CABB号码。

专家注意到，攻击中使用的网上诱骗网站在URL地址中被标记为不安全。

Radware向攻击所针对的金融机构报告了这些行动，目前，虚假网站已经离线。

Radware推荐，

检查设备和路由器使用的DNS服务器的便捷方式是通过http://www.whatsmydnsserver.com/这样的网站。只有过去两年未更新的调制解调器和路由器才能被利用。更新将保护设备的所有者，并防止设备被用于DDoS攻击或隐藏有针对性的攻击