Gli specialisti hanno scoperto che GhostDNS, un sofisticato sistema di sequestro DNS per il rilevamento dei dati, sta catturando più di 100 milioni di rotatori, l'87% del Brasile. Secondo Netlab, un'azienda specializzata nella sicurezza delle informazioni, il malware è stato trovato in oltre 70 modelli, inclusi marchi come TP-Link, D-Link, Intelbras, Multilaser e Huawei, tra altri.
Usando il metodo di phishing, l'attacco avviene come obiettivo finale per scoprire le credenziali di siti importanti, come banche e grandi fornitori. Molti registri di Netlab su 360, che hanno scoperto il golpe, URL brasiliani di Netflix, Santander e Citibank hanno formato alcuni degli invasori di GhostDNS. Successivamente, sai tutto sul malware e impara come proteggerlo.
Il malware GhostDNS infesta più di 100 milioni di rotatori e può rubare dati bancari — Foto: Reprodução/Pond5
Il malware segnalato da Netlab a 360 ha realizzato un attacco conosciuto come DNSchange. Da un lato, questo colpo tenta di aggiungere la chiave del lettore alla pagina di configurazione web utilizzando le identificazioni definite dal produttore, come admin/admin, root/root, ecc. Un altro modo è usare l'autenticazione esplorando dnscfg.cgi. Con l'accesso alle configurazioni del router, il malware altera il dominio DNS – che traduce gli URL dei siti desiderati, come quelli bancari – per gli IP dei siti malintenzionati.
Il GhostDNS è una versione sufficiente di questa etichetta. Contiene tre versioni di DNSChanger, chiamate nel codice proprio di Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger. Il PyPhp DNSChanger è il modulo principale tra i tre, essendo stato installato in più di 100 server, e la maggior parte di Google Cloud. Insieme, essi riuniscono più di 100 script di attacco, destinati agli utenti rotanti sulle reti di Internet e Intranet.
Come se non bastasse, ci sono altri tre moduli strutturati su GhostDNS, oltre a DNSChanger. Il primo è il server DNS Rouge, che sequestra i domini delle banche, i servizi sul nuovo e altri siti con credenziali interessanti per i criminali. Il secondo è il sistema di phishing sul web, che attacca gli indirizzi IP dei domini rubati e fa interagire le vittime attraverso siti falsi. Dopotutto, c'è un sistema di amministrazione web su cui gli specialisti hanno poche informazioni sul funzionamento.
Il grande rischio dell'attacco è che, insieme al sequestro del DNS, anche se digiti l'URL correlato del tuo bancomat sul navigatore, puoi reindirizzarlo all'IP di un sito dannoso. Così, anche quando un utente si identifica nell'interfaccia della pagina, viene chiesto di accreditare che si trova in un ambiente sicuro. Ciò aumenta le possibilità di digitare parole di banco, posta elettronica, servizi di archiviazione sul nuovo e altre credenziali che possono essere utilizzate da criminali informatici.
Nel periodo dal 21 al 27 settembre, il Netlab at 360 ha incontrato poco più di 100 milioni di IP di rotatori infetti. Desses, 87,8% – ou seja, circa 87.800 – estão no Brasil. Tuttavia, a causa delle variazioni degli endereços, il numero reale può essere un po' diverso.
I rotatori colpiti sono stati infettati da diversi moduli DNSChanger. Nessun Shell DNSChanger, i seguenti modelli identificati nel forum:
La prima provvidenza a tomar è mudar a senha do roteador, in particolare se usi il codice padrão ou adota uma senha fraca. Si consiglia inoltre di aggiornare il firmware del lettore e di verificare nelle configurazioni se il DNS è stato alterato.
Il TechTudo entra in contatto con Intelbras, che risolve qualsiasi problema nei loro rotatori: “informamo che non abbiamo avuto il momento di non registrare pregiudizio presso i nostri utenti per mezzo di noi 14 canali di attenzione, corrispondente alla vulnerabilità dei rotatori Intelbras”. In relazione alla sicurezza, l'azienda fa sì che i consumatori mantengano la routine di aggiornamento delle apparecchiature: “il controllo e la disponibilità dei firmware aggiornati sono disponibili sul nostro sito (www.intelbras.com.br/downloads)”.
Il Multilaser afferma anche che non ci sono problemi qui adesso. “Não houve contato de nenhum cliente por meio dos canais de attendimento que pudesse ser ligado ao ocorrido. A Multilaser orienta i consumatori a entrare in contatto con il supporto per maggiori informazioni su aggiornamenti e configurazioni degli apparecchi di marca”.
D-Link informa che la vulnerabilità è stata segnalata. Secondo la comunicazione inviata a TechTudo, l'azienda sarà disponibile a fornire una soluzione agli utenti dei loro rotatori. “A D-Link ribadisce l'importanza dell'aggiornamento costante del firmware dei lettori da parte degli utenti, in modo da potenziare la sicurezza delle apparecchiature e la connessione”, completa.
TP-Link afferma di essere consapevole del problema e consiglia agli utenti di mantenere il firmware aggiornato e di controllare la sensazione dei propri dispositivi. Poiché TP-Link è informato sulle indagini relative alla vulnerabilità dei suoi dispositivi rotanti, come forma di prevenzione contro eventuali malware, TP-Link consiglia di seguire i seguenti passaggi: