Especialistas descobriram que o GhostDNS, e sofisticado sistema de sequestro de DNS para roubo de dados, está afetando mains de 100 mil roteadores – 87% deles no Brasil. Tlas'a Netlab, ho fana ka boitsebiso bo eketsehileng mabapi le boitsebiso, kapa malware bakeng sa mefuta e mengata ea 70, ho akarelletsa le marcas a mangata a TP-Link, D-Link, Intelbras, Multilaser le Huawei, tse ling tse ngata.
Usando o método de phishing, o ataque tem como objetivo final descobrir credenciais de sites importantes, como bancos e grandes provedores. Pelos registros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander e Citibank foram algumas das invadidas pelo GhostDNS. Ka lehlakoreng le leng, u se ke ua lebala ka malware le ho se sireletsa.
Malware GhostDNS infesta mains de 100 mil roteadores e pode roubar dados bancários — Foto: Reprodução/Pond5
O na le tlaleho ea malware e tsoang ho Netlab ho 360 e le hore e ka kopanngoa le DNSchange. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, motso/motso, joalo-joalo E kenya lisebelisoa tse ling tsa malware, kapa malware a mang kapa mang a amanang le DNS - que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática. E na le mabitso a mang a DNSChanger, li-chamados no próprio código tsa Shell DNSChanger, Js DNSChanger le PyPhp DNSChanger. O PyPhp DNSChanger é o principal modulo entre os três, tendo sido implantado em mais de 100 servidores, maioria Google Cloud. Hona joale, ho na le lingoloa tse 100 tse fumanehang, tse reretsoeng ho ba le li-roteadores nas redes tsa Internet le intranet.
Como se não bastasse, há ainda outros três módulos estruturais no GhostDNS, além do DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. O segundo é o sistema de phishing na web, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos. E le hore, há o sisteme de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site malicioso. Assim, mesmo quando um usuário identifica mudanças na interface da página, é levado a creditar que está em um ambiente seguro. Isso aumenta as chances of digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.
No período de 21 a 27 de setembro, o Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil. Cotudo, devido às variações dos endereços, o número real pode ser um pouco diferente.
Os roteadores afetados foram infectados ka mefuta e fapaneng ea DNSChanger. Ha ho na Shell DNSChanger, 'me e arole li-identificado tsa liforomo:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca. E boetse e recomndável atualizar or firmware do roteador and verificar nas configurações ho DNS foi alterado.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema em seus roteadores: “informamos que não temos até o momento nenhum caso registrado de prejuízo aos nossos usuários por meio de nossos roteadores 14 des temos registrados ”. Em relação à segurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados estão disponíveis em nosso site (www.intelbradownloads.com)”.br/.
Multilaser também afirma que não há relatos de problemas até agora. “Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido. Multilaser orienta os consumidores entrarem em contato com o suporte para mais informações sobre atualizações e configurações dos aparelhos da marca”.
A D-Link informa que a vulnerabilidade já foi reportada. Segundo o comunicado enviado ao TechTudo, a empresa disponibilizou a solução aos usuários de seus roteadores. "D-Link e boetse e fana ka tlhahiso ea hore ho be le firmware dos roteadores por parte dos usuários, medida que potencializa a segurança dos equipamentos e da conexão", completa.
K'hamphani ea TP-Link e na le bothata bo boholo e khothalelitsoeng hore e sebelisoe ka mantenham kapa firmware e tla fana ka lisebelisoa tse ling. TP-Link e fana ka litšupiso tse mabapi le vulnerabilidade de seus roteadores, como forma de prevenção contra esse sível malware, TP-Link e khothaletsa ho latela lintlha tse latelang: