Especialistas descubren que o GhostDNS, un sistema sofisticado de secuestro de DNS para todos los datos, está afectando más de 100 mil rotadores – 87% deles no Brasil.De acuerdo con Netlab, empresa especializada en seguridad de información, o malware encontrado en más de 70 modelos, incluidas marcas como TP-Link, D-Link, Intelbras, Multilaser y Huawei, entre otros.
Usando el método de phishing, el ataque tiene como objetivo final descubrir las credenciales de sitios importantes, como bancos y grandes proveedores.Pelos registros da Netlab en 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander y Citibank foram algumas das invadidas pelo GhostDNS.A seguir, saiba todo sobre o malware y aprenda como se proteger.
Malware GhostDNS infesta mais de 100 mil rotadores y puede enrutar datos bancarios — Foto: Reprodução/Pond5
El malware informado pela Netlab at 360 realiza un ataque conhecido como DNSchange.De una forma general, este golpe tenta adivinhar a senha do roteador na página de configuración web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc.Com acesso às configurações do roteador, o malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática.Ele contiene tres versiones de DNSChanger, chamados sin código propio de Shell DNSChanger, Js DNSChanger y PyPhp DNSChanger.PyPhp DNSChanger es el principal módulo entre estos tres, pero se ha implantado en más de 100 servidores, principalmente en Google Cloud.Juntos, eles reúnem mais de 100 scripts de ataque, destinados a rotadores nas redes de Internet e intranet.
Como no es suficiente, tiene tres módulos estructurales no GhostDNS, al igual que DNSChanger.O primeiro é o servidor DNS Rouge, que secuestra os domínios de bancos, servicios na nuvem e outros sites com credenciais interessantes para os criminosos.En segundo lugar, el sistema de phishing en la web, que pega os endereços de IP dos domínios roubados y faz a interação com as vítimas por meio de sites falsos.Por fim, há o sistema de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu bank no browser, ela pode redirecionar para o IP de um site malicioso.Assim, mesmo quando um usuário identifica mudanças na interface da página, é levado a acreditar que está em um ambiente seguro.Isso aumenta las posibilidades de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser useds by cibercriminosos.
Ningún período del 21 al 27 de septiembre, o Netlab en 360 encontrou pouco mais de 100 mil endereços IP de roteadores derivados.Postres, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil.Contudo, devido a variações dos endereços, o número real pode ser um pouco diferente.
Os rotadores afectados por diferentes módulos DNSChanger.No Shell DNSChanger, os siguientes modelos por identificadores:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca.También se recomienda actualizar el firmware del rotador y verificar las configuraciones del DNS para modificarlo.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema em seus roteadores: “informamos que não temos até o momento nenhum case register of prejuízo aos nossos usuários for meio de nossos 14 canais of atendimento, corresponds a exploite of roteadores Intelbras”.Em relação à segurança, una empresa orienta que os consumidores mantienen una rotación de actualización de dos equipos: “o controle ea disponibilização de firmwares actualizados estão disponíveis em nosso site (www.intelbras.com.br/downloads)”.
A Multilaser também afirma que não há relatos de problemas até agora.“Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido.A Multilaser orienta a los consumidores a entrar em contato com o support para mais informações about atualizações e configurações dos aparelhos da marca”.
A D-Link informa que a vulnerabilidade já foi reportada.Segundo o comunicado enviado ao TechTudo, una empresa disponibilizou a solução aos usuários de seus roteadores.“A D-Link reitera la importancia de la actualización constante del firmware de los rotadores por parte de los usuarios, medida que potencia la seguridad de los equipos y la conexión”, completa.
Un TP-Link afirma estar pendiente del problema y recomienda que los usuarios mantengan o actualicen el firmware y troquem una senha de sus dispositivos.A TP-Link está ciente das pesquisas referencias a la vulnerabilidad de sus rotadores, como forma de prevención contra ese posible malware, a TP-Link recomienda seguir los siguientes pasos: