Especialists descobriram que o GhostDNS, um sofisticado sistema di sequestro de DNS per roubo de dados, está afetando mais de 100 mil rotatori – 87% deles no Brasil.De acordo com a Netlab, empresa especializada em segurança da informação, o malware foi encontrrado em mais 70 modelos, inclusi marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.
Usando o método de phishing, o ataque tem como objetivo final descobrir credenciais de sites importantes, como banchi e grandi provedores.Pelos registros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander e Citibank foram algumas das invadidas pelo GhostDNS.A seguir, saiba tudo sobre o malware e aprenda como se proteger.
Malware GhostDNS infesta mais da 100 milioni di rotatori e pode roubar dados bancários — Foto: Reprodução/Pond5
O malware segnalato pela Netlab a 360 realiza um ataque conhecido como DNSchange.De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definizionidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscfg.cgi.Come accedere a configurazioni di computer, o malware altera o endereço DNS padrão – que traduz URLs desejáveis desejáveis, como os de bancos – para IPs de sites mal-intencionados.
O GhostDNS è uma versão bastante aprimorada desta tática.Ele conta com tre versioni di DNSChanger, chamados non próprio codice di Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger.O PyPhp DNSChanger è o il modulo principale tra i primi, tendo sido implantado em mais de 100 servidores, a maioria Google Cloud.Juntos, eles reúnem mais de 100 scripts de ataque, destinados and roteadores nas redes de Internet e intranet.
Como se non bastasse, ha ainda outros três módulos estruturais no GhostDNS, além do DNSChanger.O primeiro é o servidor DNS Rouge, que sequestra os dominios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos.O segundo è o sistema di phishing sul web, que pega os endereços de IP dos domínios roubados e faz a interção com come vítimas por meio de sites falsos.Per il fim, il sistema di amministrazione web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite un URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site malicioso.Assim, mesmo quando um usuário identifica mudanças na interface da página, é levado a creditar que está em um ambiente seguro.Isso aumenta come possibilità di digitar senhas de banco, e-mail, servizi di armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.
Nessun periodo da 21 a 27 settembre, o Netlab a 360 minuti di distanza da 100 milioni di utenti IP di rotatori infetti.Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil.Contudo, devido às variações dos endereços, o número real pode ser um pouco diferente.
Os roteadores afetados foram infectados por diversi moduli DNSChanger.No Shell DNSChanger, seguites modelos foram identificatos:
A primeira providência a tomar é mudar a senha do roteador, specialmente se você usa o código padrão ou adota uma senha fraca.Si consiglia di aggiornare il firmware per la rotazione e la verifica della configurazione di DNS per l'alterazione.
O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema em seus roteadores: “informamos que não temos até o momento nenhum caso registrato de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, corrispondente a vulnerabilità de roteadores Intelbras”.Em relação à segurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o controle ea disponibilização de firmwares atualizados estão disponíveis en nosso site (www.intelbras.com.br/downloads)”.
Un multilaser também afirma que não há relatos de problemis até agora.“Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido.A Multilaser orienta os consumidores a entrarem em contato com o suporte per maggiori informazioni sobre atualizações e configurações dos aparelhos da marca”.
Un D-Link informa che una vulnerabilità è stata segnalata.Segundo o comunicado enviado ao TechTudo, un'azienda disponibile e solução aos usuários de seus roteadores."A D-Link reitera a importância da atualização constante dos firmware dos roteadores por parte dos usuários, medida que potencialza a segurança dos equipamentos and da conexão", completo.
A TP-Link afirma estar ciente do problema e recomenda que os usuários mantenham o firmware aggiornato e troquem a seus dispositivis.A TP-Link ciente das pesquisas referentes à vulnerabilidade de seus roteadores, come forma de prevenção contra esse possível malware, a TP-Link recomenda seguir os seguintes passis: