Specialistas descobriram que o GhostDNS, um sofisticado sistema de sequestro de DNS para roubo de dados, está afetando mais de 100 mil roteadores – 87% deles no Brazil. De acordo com Netlab, specialios informacijos saugojimo specialistas arba kenkėjiškos programos, skirtos daugiau nei 70 modelių, įskaitant TP-Link, D-Link, Intelbras, Multilaser ir Huawei bei kitas programas.
Usando o método de phishing, o ataque tem como objetivo final descobrir credenciais de sites importantes, como bancos e grandes provedores. Pelos registros da Netlab at 360, que descobriu o golpe, URL brasileiras da Netflix, Santander e Citibank foram algumas das invadidas pelo GhostDNS. Apsaugos nuo kenkėjiškų programų ir apsaugos priemonių.
Kenkėjiška programa GhostDNS infesta mais de 100 mil roteadores e pode roubar dados bancários — Nuotrauka: Reprodução/Pond5
O kenkėjiškų programų pranešimas apie Netlab at 360 suprantamas kaip suderintas su DNS pakeitimu. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root ir tt Outra maneira é pular arandoção exploc. Com acesso às configurações do roteador, o kenkimo programa pakeista arba endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática. Tai yra DNSChanger com tres versões, chamados no próprio Código de Shell DNSChanger, Js DNSChanger ir PyPhp DNSChanger. O PyPhp DNSChanger e o pagrindinis būdas įvesti os três, tendo sido implantado em mais de 100 servidores, a maioria Google Cloud. Juntos, eles reúnem mais de 100 scripts de ataque, destinados a roteadores nas redes de Internet e intranetas.
Como se não bastasse, há ainda outros três modulos estruturais no GhostDNS, além do DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. O segundo é o sistema de phishing na web, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos. Por fim, há o sistema de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site malicioso. Assim, mesmo quando um usuário identifica mudanças na interface da página, é levado a acreditar que está em um ambiente seguro. Isso aumenta as Chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.
Ne período de 21 ar 27 de setembro, o Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil. Contudo, devido às variações dos endereços, o número real pode ser um pouco diferente.
Os roteadores afetados foram infectados por diferentes DNSChanger. Nėra „Shell DNSChanger“, naudojant identifikacinius forumo modelius:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca. Tambem é recomendável atualizar or firmware do roteador e verificar nas configurações se o DNS foi foi.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problem em seus roteadores: "informamos que não temos até o momento nenhum caso registrado de prejuízo aos nossos usuários por meio de nossos devulede 14 can “. Em relação à segurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: „o controle ea disponibilização de firmwares atualizados estão disponíveis em nosso site (www.intelbr/downloads.com)“.
A Multilaser também afirma que não há relatos de problems até agora. „Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido. A Multilaser orienta os consumidores a entrarem em contato com o suporte para mais informações sobre atualizações e configurações dos aparelhos da marca“.
D-Link informacija yra pažeidžiama reportaže. Segundo o comunicado enviado aro TechTudo, a empresa disponibilizou a solução aos usuários de seus roteadores. „A D-Link pakartojo nuolatinę programinę-aparatinę aparatinę įrangą, kurią reikia atnaujinti, medida que potencializa ir segurança dos equipamentos e da conexão“, baigta.
„TP-Link“ patvirtina, kad problema išspręsta ir rekomenduojama, kad būtų įdiegta ir įdiegta programinė aparatinė įranga. A TP-Link está ciente das pesquisas referentes à vulnerabilidade de seus roteadores, como forma de prevenção contra esse possível programinė įranga, TP-Link rekomendacija, apsauganti os takeintes passos: