Especialistas descobriram que o GhostDNS, um sofisticado sistema de sequestro de DNS para roubo de dados, está afetando mais de 100 mil roteadores – 87% deles no Brasil.Site na Netlab, empresa especializada em segurança da informação, ma ọ bụ malware foi encontrado em mais 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser na Huawei, ọzọ.
Usando o método de phishing, o ataque tem como objetivo final descobrir credenciais de sites importantes, como bancos e grandes provedores.Ndị na-edebanye aha na Netlab na 360, nke descobriu o golpe, URLs brasileiras na Netflix, Santander na Citibank foram algumas das invadidas pelo GhostDNS.N'ezie, ọ dị mkpa ka ị na-eche banyere malware na aprenda como se proteger.
Malware GhostDNS infesta mais de 100 mil roteadores e pode roubar dados bancários — Foto: Reprodução/Pond5
Ọ bụrụ na malware na-akọ na Netlab na 360 ga-emepe emepe ka ọ bụrụ mgbanwe mgbanwe DNS.De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explong.N'ihi ya, ị nwere ike ime ka configurações do roteador, ma ọ bụ malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática.Ele conta com três versões de DNSChanger, chamados no proprio codigo de Shell DNSChanger, Js DNSChanger na PyPhp DNSChanger.O PyPhp DNSChanger e o principal módulo entre os três, tendo sido implantado em mais de 100 servidores, a maioria Google Cloud.Juntos, eles reúnem mais de 100 scripts de ataque, destinados a roteadores nas redes de Internet na intranet.
Como se não bastasse, há ainda outros três módulos estruturais no GhostDNS, além do DNSChanger.O primeiro na servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos.O segundo é o sistema de phishing na web, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos.Dị ka fim, ọ bụ sistema de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site malicioso.Assim, mesmo qundo um usuário identifica mudanças na interface da página, é levado a acreditar que está em um ambiente seguro.Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.
Ọ dịghị período de 21 a 27 de setembro, o Netlab na 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados.Desses, 87,8% - ma ọ bụ seja, aproximadamente 87.800 - estão no Brasil.Contudo, devido às variações dos endereços, o número real pode ser um pouco diferente.
Os roteadores afetados foram infectados por diferentes módulos DNSChanger.Enweghị Shell DNSChanger, ma ọ bụ seguintes modelos ụdịdị njirimara:
A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca.N'ịkwado ngwa ngwa ma ọ bụ firmware maka roteador na verificar nas configurações se o DNS foi alterado.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema em seus roteadores: “informamos que não temos até o momento nenhum caso registrado de prejuízo aos nossos usuários por meio de nossos usuários por meio de nossos e dere,menti Intelligence.Em relação à segurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados estão disponíveis em nosso saịtị (www.intel/download.s)”.
A Multilaser também afirma que não há relatos de problemas até agora.“Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido.A Multilaser orienta os consumidores a entrarem em contato com o suporte para mais informações sobre atualizações e configurações dos aparelhos da marca”.
A D-Link informa que a vulnerabilidade já foi reportada.Segundo o comunicado enviado ao TechTudo, a empresa disponibilizou a solução aos usuários de seus roteadores."A D-Link reitera a importância da atualização constante do firmware dos roteadores por parte dos usuários, medida que potencializa a segurança dos equipamentos e da conexão", completa.
TP-Link na-eme ka nsogbu dị na ya na-atụ aro ka ị na-arụ ọrụ mantenham o firmware atualizado e troquem a senha de seus dispositivos.A TP-Link na-egosi na vulnerabilidade de seus roteadores, ma ọ bụrụ na prevenção contra esse possível malware, a TP-Link kwadoro seguir os seguintes passos: