Specialistoj malkovras ke o GhostDNS, um sofisticado de sequestro de DNS por roubo de dados, estas afetando pli de 100 mil roteadores – 87% deles no Brazil. Konsentite kun Netlab, kompanio specialigita kun sekureco de informoj, aŭ malware troviĝis en pli da 70 modeloj, inkluzive de markoj kiel TP-Link, D-Link, Intelbras, Multilaser kaj Huawei, inter aliaj.
Uzante metodon de phishing, aŭ atakon kiel celon fine malkovri akreditaĵojn de gravaj retejoj, kiel bankoj kaj grandaj provintoj. Pelos registros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander and Citibank for algumas das invadidas pelo GhostDNS. Sekvu, ni vidu pri malware kaj komprenu kiel protekti.
Malware GhostDNS infestas pli ol 100 mil rotaciantoj kaj povas ruliĝi dados bankarios — Foto: Reprodução/Pond5
O malware raportita pela Netlab ĉe 360 realigas um atako kunhecido kiel DNSchange. De uma formo geral, ĉi tiu bato tentas adivinar al senha do roteador en paĝo de agordo retejo uzante identigojn difinitajn de padrão pelas fabrikistoj, kiel admin/admin, root/root, ktp. Alia maniero estas esti aŭtentika esploranta dnscfg.cgi. Kiel aliĝu al la agordoj de rotaciantoj, aŭ malware aliĝu al DNS-padrão – kiu tradukas URL-ojn de retejoj desejáveis, kiel os de bankoj – por IP-oj de retejoj malintencita.
O GhostDNS estas uma versão bastante aprimorada desta tática. Ele conta com três versões de DNSChanger, nomitaj neniu propra kodo de Shell DNSChanger, Js DNSChanger kaj PyPhp DNSChanger. O PyPhp DNSChanger estas la ĉefa modulo inter ĉi tiuj, kiuj estis enplantitaj en pli da 100 serviloj, al plej granda Google Cloud. Juntoj, ili reúnem pli ol 100 skriptoj de atako, destinitaj al rotaciuloj en interreto kaj intrareto.
Como se não bastasse, há ainda outros três módulos estruturais no GhostDNS, além do DNSChanger. La unua estas la servanta DNS Rouge, kiu sekvas la dominojn de bankoj, servojn al novaj kaj aliaj retejoj kiel kredaĵoj interesaj por krimuloj. O second is o system de phishing na web, that pega os endereços de IP dos domínios roubados and faz a interação com as victims for meio of sites falsas. Por fim, há o sistemo de administração web, super o qual os specialists ainda têm poucas informações do functiono.
O granda roko de atako estas tio, kiel sekveco de DNS, same ke você digite a URL korektita de sia banko neniu retumilo, ĝi povas redirekti por aŭ IP de unu retejo malica. Assim, same when um usuário identigas mudanças on interface da page, is levado akredir that is in um ambiente sekura. Isso aumenta as chances de digitar senhas de banko, e-mail, serviços de armazenamento na nuvem kaj aliaj kredaĵoj, ke povas esti uzataj por cibercriminosos.
No período de 21 a 27 de septembro, o Netlab at 360 renkontis iom pli ol 100 mil IPojn de roteadores infektitaj. Desses, 87,8% – aŭ seja, proksimume 87.800 – estão no Brazil. Contudo, devido às variações dos endereços, o numero real pode ser um pouco diferente.
Os roteadores afetados fora infektitaj por malsamaj moduloj DNSChanger. Neniu Shell DNSChanger, la sekvaj modeloj estas identigitaj:
A first providencia a tomar é mudar a senha do roteador, special se você usa o code padrão ou adota uma senha fraca. Ankaŭ estas rekomendinda atualizar aŭ firmware do rotaciisto kaj kontroli la agordojn se o DNS estis ŝanĝita.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema em seus roteadores: “informamos que não temos até o momento nenhum caso registrita de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, corresponding a vulnerabilidade de roteadores Intelbras”. Em relação à segurança, a company oriente que os consumes mantenham a rotina de atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados isão disponíveis em nosso site (www.intelbras.com.br/downloads)”.
A Multilaser ankaŭ asertas, ke ne rilatas al problemoj ĉe agora. “Não houve contato de nenhum cliente por meio dos canais de atendimento ke pudesse ser ligado ao ocorrido. A Multilaser orientiĝas al konsumantoj al eniro en kontakton kun subteno por pliaj informoj pri atualizaĵoj kaj agordoj de la markoj”.
A D-Link informa ke vundebleco estas raportita. Segundo o comunicado enviado al TechTudo, kompanio disponebla por solvo al uzantoj de liaj roteadores. “A D-Link reitera a importância da atualização constant do firmware dos roteadores por parto du usuários, medida que potencializa a sekurança dos equipamentos and da conexão”, kompleta.
A TP-Link asertas esti ciente do problemo kaj rekomendo, ke la uzantoj mantenham aŭ firmware atualizado kaj trokem al senha de siaj aparatoj. TP-Link estas sciata pri demandoj pri vundebleco de siaj rotantoj, kiel formo de prevento kontraŭ eventuala malware, kaj TP-Link rekomendas sekvi la sekvajn paŝojn: