Wataalamu wa descobriram que o GhostDNS, sofisticado system of sequestro de DNS for roubo de dados, estáfetando mais de 100 mil roteadores – 87% deles in Brasil. Imetumwa kwenye Netlab, especializada especializada esgurança da informação, au programu hasidi zinazoingia zaidi ya modeli 70, ikiwa ni pamoja na TP-Link, D-Link, Intelbras, Multilaser na Huawei, kuingia nje.
Usando o método de phishing, o ataque tem como objetivo final descobrir credenciais de sites importantes, como bancos na grandes provedores. Pelos registros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander na Citibank forum na uvamizi wa GhostDNS. Kwa kuongeza, angalia programu hasidi na upate ulinzi.
Programu hasidi ya GhostDNS imeenea zaidi ya milioni 100 kwa watumiaji na huduma zingine kwenye bancários — Picha: Reprodução/Pond5
Ripoti ya programu hasidi kutoka kwa Netlab katika 360 itajulikana kama DNSchange. De uma forma geral, este golpe tenta adivinhar a divinhar a senha do roteador na página de configuração web usando identificações definidas kwa padrão pelas fabricantes, como admin/admin, root/mizizi, n.k. Outra maneira é pular a autenticaçdãos explorando. Pata usanidi wa usanidi, au programu hasidi kubadilisha tovuti ya DNS – kama vile traduz URLs za tovuti zinazotolewa, como os de bancos – kwa ajili ya IPs za tovuti zenye malengo mengi.
O GhostDNS é uma versão bastante aprimorada desta tática. Eleza com três versões de DNSChanger, chamados no próprio código de Shell DNSChanger, Js DNSChanger na PyPhp DNSChanger. O PyPhp DNSChanger ndiye mtayarishaji mkuu wa huduma, tendo sido implantation em mais de 100 servidores, maioria Google Cloud. Juntos, eles reúnem mais de scripts 100 de ataque, destinations a roteadores nas redes de Internet na intranet.
Como se não bastasse, há ainda outros três modulos estruturais no GhostDNS, além do DNSChanger. O primeiro ni servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. O segundo ni o mfumo wa hadaa kwenye wavuti, que pega os endereços de IP dos domínios roubados na faz a interação com kama vítimas por meio de sites falsos. Kwa ajili ya, mfumo wa usimamizi wa wavuti, zaidi os os specialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site malicioso. Kama vile, mesmo quando kama utambulisho wa muda mrefu na kiolesura cha ukurasa, ni levado acreditar que está em aambiente seguro. Inaongeza nafasi za kupata taarifa za benki, barua pepe, huduma za armazenamento na nuvem e outras credenciais que podem senhas de banco, au cibercriminosos.
No período de 21 a 27 de setembro, o Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – au seja, takriban 87.800 – estão no Brasil. Cotudo, devido às variações dos endereços, o número pode halisi ser um pouco diferente.
Os roteadores afetados forum infectados kwa njia tofauti DNSChanger. Hakuna Shell DNSChanger, baada ya kuweka vitambulisho vya jukwaa:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca. Pia ni pendekezo kwa ajili ya uboreshaji au programu dhibiti ya uboreshaji na uthibitishaji na usanidi wa DNS kwa kubadilisha.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema em seus roteadores: “informamos que não temos até o momento nenhum caso registrado de prejuízo aos nossos suários for meio de nossos denossos 14 centidades de intelligences ”. Em relação à segurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o kudhibiti e disponibilização de firmwares atualizados estão disponíveis em nosso site (www.intelbradownloads.com)/br.
Multilaser também afirma que não há relatos de problemas até agora. “Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido. Multilaser orienta os consumidores entrarem em contato com o suporte for mais informações sobre atualizações na configurações dos aparelhos da marca”.
Taarifa ya D-Link ambayo ni vulnerabilidade já foi reportada. Segundo o comunicado enviado ao TechTudo, a empresa disponibilizou a solução aos usuários de seus roteadores. "D-Link inasisitiza uagizaji wa programu-jalizi kwa ajili ya programu tumizi zinazotumiwa na watu wengine, ambazo zinaweza kuleta utumiaji wa vifaa na mawasiliano", kukamilisha.
Uthibitishaji wa TP-Link ambao umesababisha matatizo na unapendekeza kutumia mfumo wa uendeshaji au programu dhibiti utatualiza na kuleta matatizo yoyote. TP-Link ni warejeleo wa vulnerabilidade de seus roteadores, fomu kama moja ya kuzuia contra esse possível malware, TP-Link inapendekeza kufanya yafuatayo: