Los especialistas descubren que GhostDNS, un sofisticado sistema de bloqueo de DNS para red de datos, está afectando a más de 100 mil enrutadores – 87% del total en Brasil. Según Netlab, empresa especializada en seguridad de la información, el malware se ha encontrado en más de 70 modelos, incluidas marcas como TP-Link, D-Link, Intelbras, Multilaser y Huawei, entre otras.
Utilizando un método de phishing, el ataque tiene como objetivo final descubrir credenciales de sitios importantes, como bancos y grandes proveedores. Pelos registros da Netlab at 360, que descubrieron el golpe, URL brasileñas de Netflix, Santander y Citibank foram algunas de las invadidas por GhostDNS. A seguir, saiba todo sobre el malware y aprende cómo protegerse.
El malware GhostDNS infesta más de 100 mil roteadores y puede robar datos bancarios — Foto: Reprodução/Pond5
El malware reportado en Netlab at 360 realiza un ataque conocido como DNSchange. De una forma general, este golpe tenta adivinhar a senha do roteador na página de configuración web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é popular a autenticação explorando dnscfg.cgi. Al acceder a las configuraciones del navegador, el malware altera el envío del padrón DNS – que traduce las URL de los sitios deseados, como los sistemas operativos de los bancos – a las IP de los sitios mal intencionados.
El GhostDNS es una versión bastante aprimorada de esta táctica. Tiene tres versiones de DNSChanger, chamados sin código propio de Shell DNSChanger, Js DNSChanger y PyPhp DNSChanger. El PyPhp DNSChanger es el módulo principal entre los tres, tendo sido implantado en más de 100 servidores, principalmente Google Cloud. Juntos, eles reúnem mais de 100 scripts de ataque, destinados a roteadores nas redes de Internet e intranet.
Como no basta, hay otros tres módulos estructurales en GhostDNS, además de DNSChanger. El primer servidor DNS Rouge, que secuestra los dominios de bancos, servicios en la nube y otros sitios con credenciales interesantes para los criminales. El segundo es el sistema de phishing en la web, que pega los endereços de IP de dos dominios roubados y hace una interacción con víctimas de sitios falsos. Por fin, tiene un sistema de administración web sobre la calidad de los especialistas y también algunas informaciones sobre su funcionamiento.
El gran riesgo de ataque es que, con el bloqueo de DNS, además de digitar la URL correspondiente a su banco en su navegador, podrá redirigir a la IP de un sitio malicioso. Así, cuando un usuario identifica cambios en la interfaz de la página, se levanta a acreditar que está en un ambiente seguro. Esto aumenta a medida que aumentan las posibilidades de digitalizar tarjetas bancarias, correos electrónicos, servicios de armamento en la nube y otras credenciales que pueden ser usadas por cibercriminosos.
En el período del 21 al 27 de septiembre, Netlab en 360 encontró poco más de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – ou seja, aproximadamente 87.800 – está en Brasil. Sin embargo, debido a las variaciones de los endereços, el número real puede ser un poco diferente.
Los roteadores infectados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, los siguientes modelos para identificar:
La primera providencia a tomar é mudar a senha do roteador, especialmente si você usa o código padrão ou adota uma senha fraca. También recomendamos actualizar el firmware del enrutador y verificar las configuraciones si el DNS está alterado.
El TechTudo entró en contacto con Intelbras, que desconhece qualquer problema em sus roteadores: “informamos que não temos até o momento nenhum caso registrado de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, correspondiente a vulnerabilidade de roteadores Intelbras”. Em relação à segurança, una empresa orientada a que los consumidores mantengan la rotación de actualización de los equipos: “o controle ea disponibilização de firmwares actualizados están disponibles en nuestro sitio (www.intelbras.com.br/downloads)”.
A Multilaser también afirma que não há relaciones de problemas até agora. “Não houve contato de nenhum client por meio dos canais de atendimento que pudesse ser ligado ao corrido. A Multilaser orienta a los consumidores a entrar en contacto con el soporte para más información sobre actualización y configuración de los aparatos de la marca”.
A D-Link informa que una vulnerabilidade já foi reportada. Segundo o comunicado enviado a TechTudo, una empresa disponible para soluciones a los usuarios de sus roteadores. “A D-Link reitera la importancia de la actualización constante del firmware de los roteadores por parte de los usuarios, a medida que potencializa la seguridad de los equipos y la conexión”, completa.
A TP-Link afirma estar consciente del problema y recomienda que los usuarios mantengan el firmware actualizado y troquem a la sensación de sus dispositivos. TP-Link está consciente de las pesquisas referencias a la vulnerabilidad de sus roteadores, como forma de prevención contra este posible malware, por lo que TP-Link recomienda seguir los siguientes pasos: