Specialistas scopre chì o GhostDNS, un sofisticatu sistema di sequestro di DNS per roubo di dados, hè afettendu più di 100 mil roteadores - 87% deles no Brasil. Accordu cù Netlab, un'impresa specializata in a sicura di l'informazioni, o malware hè statu trovu in più di 70 mudelli, includendu marche cum'è TP-Link, D-Link, Intelbras, Multilaser è Huawei, entre altri.
Utilizendu u metudu di phishing, o attaccu cum'è scopu finale scopre credenciais di siti impurtanti, cum'è banci è grandi pruvisti. Pigliate registrazioni da Netlab à 360, chì descobriu o golpe, URLs brasileiras da Netflix, Santander è Citibank foram algumas da invadidu GhostDNS. A seguir, saiba tudo sopra o malware è aprenda cum'è prutegge.
Malware GhostDNS infesta più di 100 milioni di rotatori è ponu roubar dados bancários — Foto: Reprodução/Pond5
U malware signalatu per Netlab à 360 realizà un attaccu cunnessu cum'è DNSchange. De uma forma geral, stu golpe tenta di adivinà a senha do roteador na pagina di cunfigurazione web usendu identificazioni definite da padrão pelas manufacturers, as admin/admin, root/root, etc. Cume acesso às configurações do roteador, o malware altera o endereço DNS Padrão - chì traduce URLs di siti desejáveis, cum'è os de bancs - per IPs di siti malintenzionati.
O GhostDNS é uma versão bastante aprimorada desta tática. Ele conta cum'è trè versões di DNSChanger, chjamati senza codice propiu di Shell DNSChanger, Js DNSChanger è PyPhp DNSChanger. O PyPhp DNSChanger hè u modulu principale trà i trè, hè statu implementatu in più di 100 servitori, a maiò parte di Google Cloud. Cunsiglii, sò riuniti più di 100 scripts d'attaccu, destinati à i rotori in Internet è intranet.
Cum'è não bastasse, há ainda other três modules structures no GhostDNS, além do DNSChanger. U primu hè u servore DNS Rouge, chì sequestra os domínios de bancs, serviços na nuvem è altri siti cum'è credenciais interessanti per i criminosos. U sicondu hè o sistema di phishing in u web, chì pega os endereços de IP dos domínios roubados e faz a interação cum as victims for meio of sites falses. Per fim, há o sistema di amministrazione web, sopra o qual os specialists ainda têm poucas informações do functiono.
U grande riscosu di l'attaccu hè chì, cum'è sequestro do DNS, stessu chì você digite a URL correta da u so bancu di navigatore, ela pò ridirezzione per o IP di u situ malicioso. Assim, stessu quandu u usu di identificazione mudanças in l'interfaccia di a pagina, hè levado a acreditar chì hè in un ambiente sicuru. Issu aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem è altre credenciais chì ponu esse usate per cibercriminosos.
No periodu di 21 à 27 di Settembre, o Netlab à 360 ncuntrau pocu più di 100 milioni di IP di roteadores infettati. Desses, 87,8% - ou seja, circa 87.800 - estão no Brasil. Contudo, devido às variações dos endereços, o numero real pò esse um pocu differente.
I rotatori afettati fora infettati per diversi moduli DNSChanger. No Shell DNSChanger, i seguenti mudelli foram identificati:
A prima providência a toma è mudar a senha do roteador, specialmente se você usa o codice padrão ou adota uma senha fraca. Hè ancu cunsigliatu di attualizare o firmware di roteador è verificate a cunfigurazione se o DNS hè cambiatu.
O TechTudo entrou em contato com a Intelbras, chì deconhece qualquer problem em its roteadores: "informamos que no have até o moment nenhum caso registratu di prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, corrispondente à a vulnerabilidade de roteadores Intelbras". Em relação à segurança, a empresa orienta chì i cunsumatori mantenenu a rotina di atualização dos equipamentos: "o controle ea disponibilização de firmwares atualizados estão disponíveis em nosso site (www.intelbras.com.br/downloads)".
A Multilaser ancu dice chì ùn hà micca riferitu i prublemi à l'ora. “Não houve contato de nenhum cliente per meio dos canais de atendimento que pudesse ser ligado ao ocorrido. A Multilaser orienta à i cunsumatori è accede à cuntattà cum'è supporte per più infurmazioni nantu à l'attualizazioni è a cunfigurazione di l'apparecchi di marca ".
A D-Link informa chì una vulnerabilità hè stata signalata. Secondo o cumunicatu enviatu à TechTudo, una cumpagnia dispunibile a suluzione à l'usu di i so roteadores. "A D-Link reitera a importância da atualização constant do firmware dos roteadores per parte dos usuários, mid that potentializa a security dos equipamentos and da conexão", completa.
A TP-Link dichjara esse ciente di u prublema è ricumandemu chì l'usu di mantene o firmware atualizatu è troquem a senha di i so dispositivi. A TP-Link hè cunziscente di i referenti di a vulnerabilità di i so roteadores, cum'è forma di prevenzione contru esse eventuali malware, a TP-Link consiglia di seguità i seguenti passi: