Especialistas descubriram que o GhostDNS, um sofisticado sistema de sequestro de DNS para roubo de dados, está afetando mais de 100 mil roteadores – 87% deles no Brasil.De acordo com a Netlab, empresa especializada em segurança da información, o malware foi encontrado em mais 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.
Usando o método de phishing, o ataque como obxectivo final descubrir credenciais de sitios importantes, como bancos e grandes provedores.Pelos rexistros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander e Citibank foram algumas das invadidas pelo GhostDNS.A seguir, saiba todo sobre o malware e aprenda como se protexe.
Malware GhostDNS infesta mais de 100 mil roteadores e pode roubar dados bancários — Foto: Reprodução/Pond5
O malware reportado pela Netlab at 360 realiza un ataque conhecido como DNSchange.De uma forma geral, este golpe tenta adivinhar a senha do roteador na páxina de configuración web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticación explorando dnscfg.cgi.Com acesso ás configurações do roteador, o malware altera o endereço DNS padrão – que traduce URLs de sites desejáveis, as os de bancos – para IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática.Ele conta com três versões de DNSChanger, chamados no próprio código de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger.O PyPhp DNSChanger é o módulo principal entre os tres, tendo sido implantado en máis de 100 servidores, a maioria Google Cloud.Xuntos, eles reúnen máis de 100 scripts de ataque, destinados a roteadores nas redes de Internet e intranet.
Como se non bastasse, aínda hai outros três módulos estruturais no GhostDNS, além do DNSChanger.O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, servizos na nova e outros sitios com credenciais interesantes para os criminosos.O segundo é o sistema de phishing na web, que pega os enderezos de IP dos domínios roubados e faz a interacción con vítimas por meus sitios falsos.Por fim, há o sistema de administración web, sobre o cal os especialistas aínda que poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de un sitio malicioso.Así mesmo, cando o usuario identifica mudanzas na interface da páxina, é levado a acreditar que está nun ambiente seguro.Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podemos ser usadas por cibercriminosos.
No período de 21 a 27 de setembro, o Netlab at 360 encontrou pouco máis de 100 mil endereços IP de rotadores infectados.Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil.Contudo, devido ás variações dos endereços, o número real pode ser um pouco diferente.
Os roteiros afetados fora infectados por diferentes módulos DNSChanger.No Shell DNSChanger, os seguintes modelos foram identificados:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca.Tamén é recomendable atualizar o firmware do roteador e verificar nas configurações se o DNS foi alterado.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema nos seus roteadores: “informamos que non temos até o momento nenhum caso rexistrado de prexuízo aos nosos usuários por meio de nós 14 canais de atendimento, correspondente á vulnerabilidade de roteadores Intelbras”.Em relação à segurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados isão disponíveis em nosso site (www.intelbras.com.br/downloads)”.
A Multilaser tamén afirma que non há relatos de problemas até agora.“Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido.A Multilaser orienta aos consumidores a entrar en contacto con o soporte para máis información sobre atualizações e configurações dos aparellos da marca”.
A D-Link informa que a vulnerabilidade xa foi reportada.Segundo o comunicado enviado ao TechTudo, a empresa disponibilizou a solución aos usuários dos seus roteadores.“A D-Link reitera a importância da atualização constante do firmware dos roteadores por parte dos usuários, medida que potencializa a segurança dos equipamentos and da conexão”, completa.
A TP-Link afirma estar ciente do problema e recomendación que os usuários mantenham ou firmware atualizado e troquem a senha dos seus dispositivos.A TP-Link está ciente das preguntas referentes á vulnerabilidade dos seus roteadores, como forma de prevención contra o malware posíbel, a TP-Link recomenda seguir os seguintes pasos: