Especialistas descubriram que o GhostDNS, um sofisticado sistema de sequestro de DNS para roubo de dados, está afetando mais de 100 mil roteadores – 87% deles no Brasil. De acordo com a Netlab, empresa especializada em segurança da información, o malware foi encontrado em mais 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.
Usando o método de phishing, o ataque como obxectivo final descubrir credenciais de sitios importantes, como bancos e grandes provedores. Pelos rexistros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander e Citibank foram algumas das invadidas pelo GhostDNS. A seguir, saiba todo sobre o malware e aprenda como se protexe.
Malware GhostDNS infesta mais de 100 mil roteadores e pode roubar dados bancários — Foto: Reprodução/Pond5
O malware reportado polo Netlab at 360 realizou un ataque conhecido como DNSchange. De uma forma geral, este golpe tenta adivinhar a senha do roteador na páxina de configuración web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticación explorando dnscfg.cgi. Com acesso ás configurações do roteador, o malware altera ou endereço DNS padrão – que traduce URLs de sites desejáveis, as os de bancos – para IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática. Ele conta com três versões de DNSChanger, chamados no próprio código de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger. O PyPhp DNSChanger é o módulo principal entre os tres, tendo sido implantado en máis de 100 servidores, a maioria Google Cloud. Xuntos, eles reúnen máis de 100 scripts de ataque, destinados a roteadores nas redes de Internet e intranet.
Como se non bastasse, aínda hai outros três módulos estruturais no GhostDNS, além do DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, servizos na nova e outros sitios com credenciais interesantes para os criminosos. O segundo é o sistema de phishing na web, que pega os enderezos de IP dos domínios roubados e faz a interacción con vítimas por meus sitios falsos. Por fim, há o sistema de administración web, sobre o cal os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de un sitio malicioso. Así mesmo, cando o usuário identifica mudanzas na interface da páxina, é levado a acreditar que está nun ambiente seguro. Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podemos ser usadas por cibercriminosos.
No período de 21 a 27 de setembro, o Netlab at 360 encontrou pouco máis de 100 mil endereços IP de rotadores infectados. Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil. Contudo, devido ás variações dos endereços, o número real pode ser um pouco diferente.
Os roteiros afetados fora infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os seguintes modelos foram identificados:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca. Tamén é recomendable atualizar o firmware do roteador e verificar nas configurações se o DNS foi alterado.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema nos seus roteadores: “informamos que non temos até o momento nenhum caso rexistrado de prexuízo aos nosos usuários por meio de nós 14 canais de atendimento, correspondente á vulnerabilidade de roteadores Intelbras”. Em relação à segurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados isão disponíveis em nosso site (www.intelbras.com.br/downloads)”.
A Multilaser tamén afirma que non há relatos de problemas até agora. “Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido. A Multilaser orienta aos consumidores a entrar en contacto con o soporte para máis información sobre atualizações e configurações dos aparellos da marca”.
A D-Link informa que a vulnerabilidade xa foi reportada. Segundo o comunicado enviado ao TechTudo, a empresa disponibilizou a solución aos usuários dos seus roteadores. “A D-Link reitera a importância da atualização constante do firmware dos roteadores por parte dos usuários, medida que potencializa a segurança dos equipamentos and da conexão”, completa.
A TP-Link afirma estar ciente do problema e recomendación que os usuários mantenham ou firmware atualizado e troquem a senha dos seus dispositivos. A TP-Link está ciente das preguntas referentes á vulnerabilidade dos seus roteadores, como forma de prevención contra o malware posíbel, a TP-Link recomenda seguir os seguintes pasos: