Espesyalis yo dekouvri ke o GhostDNS, yon sistèm sofisticado de sequestro de DNS pou roubo de dados, ap fè plis pase 100 mil roteadores – 87% deles no Brasil. Dapre Netlab, konpayi espesyalize nan sekirite enfòmasyon, oswa malveyan yo te jwenn plis pase 70 modèl, enkli mak tankou TP-Link, D-Link, Intelbras, Multilaser ak Huawei, ak lòt.
Sèvi ak metòd èskrokri, ou atake kòm objektif finalman dekouvèt kredi sit enpòtan yo, kòm bank ak gwo pwovizyon. Anrejistre yo nan Netlab nan 360, ki descobriu o golpe, URLs brasileiras nan Netflix, Santander ak Citibank fòm algumas nan invadidas GhostDNS. A swiv, saiba tudo over o malware e aprenda kòm se pwoteje.
Malware GhostDNS enfekte plis pase 100 mil roteadores e kapab roubar dados bancários — Foto: Reprodução/Pond5
O malveyan ki te rapòte nan Netlab nan 360 reyalize yon atak konjwen kòm DNSchange. Nan fòma jeneral sa a, sa a ap eseye fè yon moun konnen si yon moun pa vle wè konfigirasyon sit entènèt la lè l sèvi avèk idantifikasyon definisyon padrão pelas fabricants, tankou admin/admin, root/root, elatriye. Kòm aksè nan konfigirasyon yo fè roteador, oswa malveyan chanje oswa endereze DNS padrão – ki tradui URLs de sit desejáveis, tankou os de bank – pou IPs de sit mal-intentionados.
O GhostDNS se yon vèsè trè aprimorada desta tika. Ele kontak ak lòt vèsè DNSChanger, yo rele pa gen okenn kòd pwòp Shell DNSChanger, Js DNSChanger ak PyPhp DNSChanger. O PyPhp DNSChanger se yon Mòd Prensipal nan mitan lòt, yo te enstale plis nan 100 serveurs, ak Google Cloud. Gen plis pase 100 scripts nan atak, yo jwenn plis pase sou entènèt ak intranet.
Kòm se non bastasse, há ainda lòt três módulos estruturais no GhostDNS, além do DNSChanger. Premye a se serveur DNS Rouge, sechestra os domínios de bancos, sèvis nan nouvo sit ak lòt sit ki gen kredi ki enteresan pou krim yo. O second is o system of phishing na web, that pega os endereços de IP dos dominyon roubados and faz a interação com as victims for meio de sites falsos. Pou fim, há o system de administração web, sou ou qual os specialists ainda têm poucas enfòmasyon sou fonksyono.
O gwo risk pou atak se ke, kòm o sechestro do DNS, menm ki você digite URL koreksyon nan bank ou a pa navigatè a, li kapab redireksyone pou IP nan sit malveyan. Okontrè, menm lè a sèvi ak moun ki idantifye mudanças nan koòdone nan paj la, li te leve yon akreditasyon ke yo te nan yon anviwònman an sekirite. Isso ogmante as chances de digitar senhas de bank, e-mail, service of armazenamento na novem and other credenciais that can ser uses by sibercriminosos.
Pa gen peryòd 21 a 27 septanm, oswa Netlab nan 360 te jwenn yon ti kras plis pase 100 mil IP enfekte yo. Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil. Contudo, devido às variações dos endereços, o number real pode ser um little different.
Oswa roteadores yo te enfekte nan diferan mòd DNSChanger. Pa gen Shell DNSChanger, sa ki annapre yo nan fòm sa yo idantifye:
A premye providencia a tomar é mudar a senha do roteador, espesyalman se você usa ou code padrão ou adota uma senha fraca. Epitou, ou rekòmande atualizar oswa firmwèr fè roteador ak verifye nan konfigirasyon se ou DNS ou chanje.
O TechTudo entrou em contato com a Intelbras, ki desconhece qualquer problem em roteadores: “informamos que não tenemos até o momento nenhum caso registrado de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, corresponding a vulnerabilidade de roteadores Intelbras”. An relasyon a sekirite, yon konpayi oryante ke kliyan yo kenbe yon rotina de atualização dos equipamentos: "o controle ea disponibilização de firmwares atualizados estão disponíveis em nosso site (www.intelbras.com.br/downloads)".
A Multilaser alsom says that no há relatos of problems até agora. “Não houve contato de nenhum cliente pou meio dos canais de atendimento ke pudesse ser ligado ao ocorrido. A Multilaser oryante kliyan yo pou yo antre an kontak ak sipò pou plis enfòmasyon sou aktyèl yo ak konfigirasyon yo nan mak la.
Yon D-Link enfòmasyon sou vilnerabilite yo ka rapòte. Dezyèmman oswa kominikasyon anviye nan TechTudo, yon konpayi ki disponib ak solisyon pou moun ki konn sèvi ak li yo. “Yon D-Link reitera yon enpòtans aktif nan firmwèr dosis roteadores pou pati moun k ap itilize yo, mezi ki posiblite pou sekirite ekipman yo ak konjonksyon an”, konplè.
A TP-Link di ke yo gen pwoblèm ak rekòmandasyon ke itilizatè yo kenbe oswa firmware atualized ak troquem a senha nan aparèy nou yo. Yon TP-Link konnen referans sou vilnerabilite li yo, kòm fòma prevansyon kont malveyan malveyan ki genyen, yon rekòmandasyon TP-Link pou swiv pa sa yo: