Specijalisti descobriram que o GhostDNS, um sofisticado system de sequestro of DNS para roubo de dados, está afetando mais de 100 mil roteadores – 87% deles no Brasil.De acordo com a Netlab, empresa specializada em gurança da informação, or malware foi encontrado em masis 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.
Usando o método de phishing, o ataque tem como objektivo final descobrir credenciais de sites importantes, como bancos e grandes providerores.Netlabovi registri na 360, que descobriu o golpe, brazilski URL-ovi Netflixa, Santandera i Citibanka za algumas das invadidas pelo GhostDNS.A seguir, saiba tudo sobre o malware e aprenda como se proteger.
Zlonamjerni softver GhostDNS zarazio je više od 100 milijuna roteadores e pode roubar dados bankários — Foto: Reprodução/Pond5
O zlonamjernom softveru prijavljeno je Netlab-om na 360 stupnjeva, koji je napadnut kao DNSchange.De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscfg.cgi.Com acesso às configurações do roteador, or malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática.Ele conta com tris versões of DNSChanger, chamados no póprio codigo of Shell DNSChanger, Js DNSChanger i PyPhp DNSChanger.O PyPhp DNSChanger-u je glavni modul u ovom trenutku, koji je ugrađen u više od 100 poslužitelja, veći od Google Cloud-a.Juntos, eles reúnem mais de 100 scripts de ataque, destinados a roteadores nas redes de Internet e intranet.
Como se não bastasse, há ainda outros tres módulos estruturais no GhostDNS, além do DNSChanger.O primeiro é o serveru DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos.O drugom sustavu za krađu identiteta na webu, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos.Por fim, há o system de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site zlonamjerno.Assim, mesmo quando um usuário identifica mudanças na sučelju da página, é levado a acreditar que está em um ambiente seguro.Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.
No period od 21. do 27. rujna, o Netlab na 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados.Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil.Contudo, devido às variações dos endereços, o número real pode ser um pouco diferente.
Zaraženi zaraženi korisnici za različite module DNSChanger.Bez Shell DNSChanger, sljedeći modeli identificirani za sljedeće modele:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca.Também é recomendável ažurirati firmware do roteador i provjeriti nas configurações se o DNS-u za promjene.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problem em seus roteadores: “informamos que não temos até o momento nenhum caso registrado de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento,respondente a vulnerabilidade de roteadores”.IntelbrasEm relação à gurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados estão disponíveis em our site (www.intelbras.com.br/downloads)”.
A Multilaser também afirma que não há relatos de problemas até agora.“Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido.A Multilaser orienta os consumidores a entrarem em contato com o suporte para mais informações sobre atualizações e configurações dos aparelhos da marca”.
D-Link informa que a vulnerabilidade já foi reportada.Segundo o comunicado enviado ao TechTudo, a empresa disponibilizou a solução aos usuários de seus roteadores.“A D-Link reitera a importância da atualização constante do firmware dos roteadores por parte dos usuários, medida que potencijaliza a gurança dos equipamentos e da conexão”, completa.
TP-Link je potvrdio da je problem estar ciente do problem e recomenda que os usuários mantenham o firmware atualizado e troquem a senha de seus pospositivos.TP-Link está ciente das pesquisas referentes à vulnerabilidade de seus roteadores, como forma de prevenção contra esse possível malware, a TP-Link recomenda seguir os seguintes passos: