Спецыялісты апісваюць GhostDNS, удасканаленую сістэму секвестра DNS для даных, якая падтрымлівае больш за 100 мільёнаў кліентаў – 87% з Бразіліі. De acordo com a Netlab, empresa specializada em gurança da informação, or malware foi encontrado em mais 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.
Usando o método de phishing, o ataque tem como objetivo final descobrir credenciais de sites importantes, como bancos e grandes provedores. Рэгістры Netlab на 360, якія апісваюцца або голпе, бразільскія URL-адрасы Netflix, Сантандер і Сіцібанк фармуюцца ў алгумасах нападаў на GhostDNS. У далейшым, саіба tudo sobre o malware e aprenda como se proteger.
Шкоднасная праграма GhostDNS заражана больш за 100 мільёнаў банкаўскіх файлаў і банкаў — Фота: Reprodução/Pond5
Паведамленне аб шкоднасных праграмах ад Netlab на 360 рэалізавана як DNSchange. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, і г.д. Outra maneira é pular a autenticação explorando dnscfg.cgi. Com acesso às configurações do roteador, o malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática. Ele conta com três versões de DNSChanger, chamados no póprio código de Shell DNSChanger, Js DNSChanger і PyPhp DNSChanger. PyPhp DNSChanger - гэта асноўны модуль, які імплантуецца ў больш чым 100 серверах, больш за Google Cloud. Juntos, eles reúnem mais de 100 scripts de ataque, destinados a roteadores nas redes de Internet e Intranet.
Como se não bastasse, há ainda outros três modulos stuturais no GhostDNS, além do DNSChanger. O primeiro é o server DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. Аб другой сістэме фішынгу ў Інтэрнэце, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos. Por fim, há o system de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site zlocioso. Assim, mesmo quando um usuário identifica mudanças na interface da página, é levado a acreditar que está em um ambiente seguro. Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.
No período de 21 a 27 de setembro, o Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil. Contudo, devido às variações dos endereços, o número real pode ser um pouco diferente.
Заражаныя форумы на розных модулях DNSChanger. Няма Shell DNSChanger, наступныя мадэлі ідэнтыфікаваных форумаў:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca. Мы рэкамендуем наладжваць убудаванае праграмнае забеспячэнне або правяраць канфігурацыі DNS для змененага.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problem em seus roteadores: “informamos que não temos até o momento nenhum caso registerado de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, correctente a vulnerabilidade de roteado res Intelbras». Empresao à gurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o controle ea disponibilização de firmware atualizados estão disponíveis em nosso site (www.intelbras.com.br/downloads)”.
A Multilaser também afirma que não há relatos de problemas até agora. “Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido. A Multilaser orienta os consumidores a entrarem em contato com o suporte para mais informações sobre atualizações e configurações dos aparelhos da marca”.
Інфармацыя D-Link аб уразлівасці já foi reportada. Segundo o comunicado enviado ao TechTudo, a empresa disponibilizou a solução aos usuários de seus roteadores. «D-Link паўтарае важнае значэнне пастаяннай актуалізацыі ўбудаванага праграмнага забеспячэння для абанентаў карыстальнікаў, у тым ліку патэнцыялу забеспячэння бяспекі абсталявання і падлучэння», завершана.
A TP-Link пацвярджае, што праблема і рэкамендавана, калі мы карыстаемся ўбудаваным праграмным забеспячэннем, і спрабуем перадаць яго прылады. TP-Link está ciente das pesquisas referentes à vulnerabilidade de seus roteadores, como forma de prevenção contra esse possível malware, a TP-Link recomenda seguir os seguintes passos: