![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Ein Botnetz mit dem Namen GhostDNS hat 100.000 Heim-Router von \u00fcber 70 Herstellern befallen und manipuliert deren DNS-Einstellungen. Ziel ist es, den Traffic auf Phishing-Seiten (f\u00fcr brasilianische Banken) umzuleiten. <\/p>\nEin Botnetz mit dem Namen GhostDNS hat 100.000 Heim-Router von \u00fcber 70 Herstellern befallen und manipuliert deren DNS-Einstellungen. Ziel ist es, den Traffic auf Phishing-Seiten (f\u00fcr brasilianische Banken) umzuleiten. <\/p>\n
<\/p>\n
Ich bin hier<\/a> und hier<\/a> auf die betreffenden Informationen gesto\u00dfen. Erste Informationen gab es aber bereits im August 2018 auf dieser Webseite<\/a>. Seit dem 8. Juni verfolgt deren Sicherheits-Forschungszentrum b\u00f6sartige Aktivit\u00e4ten, die auf DLink DSL-Modem-Router in Brasilien abzielen. Durch bekannte alte Exploits aus dem Jahr 2015 versucht ein Angreifer die DNS-Servereinstellungen in den Routern brasilianischer Einwohner zu \u00e4ndern und leitet alle seine DNS-Anfragen \u00fcber einen kompromittierten DNS-Server um. <\/p>\n Dieser DNS-Server \u00fcbernimmt Anfragen f\u00fcr den Hostnamen der Banco de Brasil (www.bb.com.br) und leitet sie auf eine gef\u00e4lschte, geklonte Website weiter, die auf demselben kompromittierten DNS-Server gehostet wird. Dieser hat keinerlei Verbindung zur legitimen Banco de Brasil-Website. Es sind die Webseiten weiterer Banken mit Phishing-Kopien (wohl um die 50) betroffen. <\/p>\n Das GhostDNS-System besteht aus vier Teilen: DNSChanger-Modul, Phishing Web-Modul, Web-Admin-Modul, Rogue-DNS-Modul. Unter anderem ist das DNSChanger-Modul f\u00fcr die Sammlung und Auswertung von Informationen zust\u00e4ndig.<\/p>\nGhostDNS-Botnet<\/h2>\n
![\"GhostDNS\"](\"https:\/\/blog.netlab.360.com\/content\/images\/2018\/09\/victims.png\")
<\/a> <\/p>\n