Especialistes descobreixen que o GhostDNS, un sistema sofisticat de seqüència de DNS per a roubo de dados, està afegint més de 100 mil roteadores – 87% deles no Brasil. D'acord amb Netlab, empresa especialitzada en seguretat d'informació, o malware trobat en més de 70 models, incloent marques com TP-Link, D-Link, Intelbras, Multilaser i Huawei, entre altres.
Usant el mètode de phishing, l'atac com a objectiu final descobrir credenciais de llocs importants, com a bancs i grans provedors. Pels registres de Netlab at 360, que descobriu o cop, URLs brasilers de Netflix, Santander i Citibank foram algumes das invadides pel GhostDNS. A seguir, saiba tu sobre o malware i aprenda com a protegir.
El programari maliciós GhostDNS infesta més de 100 milions d'usuaris i poden fer servir bancàries — Foto: Reprodução/Pond5
El programari maliciós reportat pel Netlab a 360 es realitza un atac connectat com a DNSchange. De forma general, aquest cop tentarà adivinar a la pàgina de configuració web utilitzant identificacions definides pels fabricants, com admin/admin, root/root, etc. Com accedir a les configuracions del roteador, o alterar el programari maliciós o modificar el fitxer DNS - que tradueix els URL dels llocs desejables, com els bancs - per a les IP dels llocs malintencionats.
O GhostDNS és una versão bastant aprimada desta tàtica. Ele conta amb tres versões de DNSChanger, anomenats sense codi propi de Shell DNSChanger, Js DNSChanger i PyPhp DNSChanger. O PyPhp DNSChanger és el mòdul principal entre els tres, s'ha implantat a més de 100 servidors, a més de Google Cloud. Junts, han reunit més de 100 scripts d'atac, destinats a espectadors a les xarxes d'Internet i intranet.
Com no bastasse, encara hi ha altres tres mòduls estructurals que no són GhostDNS, però també DNSChanger. El primer és el servidor DNS Rouge, que sequestra els dominis de bancs, serveis i altres llocs com a credencials interessants per als criminosos. O segon és o sistema de phishing a la web, que pega els endereços d'IP dos dominis roubats i faz a la interacció com a víctimes per meio de sites falsos. Per fim, há o sistema d'administració web, sobre o qual os especialistes ainda têm poucas informações do funcionamento.
El gran risc de l'atac és que, com o seqüència del DNS, el mateix que você digite a URL corret do seu banc no navegador, ela pot redirigir per a la IP d'un lloc maliciós. Així mateix, quan l'usuari identifiqui les mudances a la interfície de la pàgina, s'acredita que està en un ambient segur. Isso aumenta as chances de digitar senhas de banco, e-mail, serviços d'armazenamento na nuvem i altres credenciais que podem ser usades per cibercriminosos.
No període de 21 a 27 de setembre, o Netlab at 360 va trobar poc més de 100 mil milions d'IP de rotadors infectats. Desses, 87,8% – ou seja, aproximadament 87.800 – estão no Brasil. Contudo, devido às variações dos endereços, o número real pot ser um poc diferent.
Els rotadors afectats per fora infectats per diferents mòduls DNSChanger. No Shell DNSChanger, els següents models són identificats:
A primera providência a prendre é mudar a senha do roteador, especialment se você usa o código padrão o adota uma senha fraca. També recomendável atualizar o firmware do roteador i verificar nas configurações se o DNS fos alterat.
O TechTudo entrou em contat com a Intelbras, que desconhece qualquer problema als seus roteadores: “informamos que no tenim até o moment nenhum cas registrat de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, corresponent a vulnerabilidade de roteadores Intelbras”. Em relação à segurança, a empresa orienta que els consumidors mantenen a la rotina d'atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados isão disponíveis em nosso site (www.intelbras.com.br/downloads)”.
A Multilaser també afirma que no ha relatos de problemes até agora. “Não houve contato de nenhum cliente per meio dos canais de atendimento que pudesse ser lligat ao ocorrido. A Multilaser orienta els consumidors a entrarem em contat com o suport per a més informació sobre atualizações i configurações dos aparelhos da marca”.
A D-Link informa que una vulnerabilitat és informada. Segon o comunicat enviat al TechTudo, una empresa disponible i una solució als usuaris dels seus usuaris. “A D-Link reitera a importância da atualização constant do firmware dos roteadores per part dos usuários, mesura que potencializa la seguretat dos equipamentos and da conexão”, completa.
A TP-Link afirma estar ciente del problema i recomanació que els usuaris mantenen o firmware atualitzat i troquem als seus dispositius. Un TP-Link està ben informat dels referents a la vulnerabilitat dels seus usuaris, com a forma de prevenció contra el possible programari maliciós, i TP-Link recomana seguir els passos següents: