Especialistas de que, no deles, estão afetando o GhostDNS, um sistema de sistema de segurança de DNS para roubo de dados de 100% roubado deles afetando mais o roteador deles.De acordo com a Netlab, empresa especializada em segurança da informação, o malware foi encontrado em mais de 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.
Usando o método de phishing importante, o ataque como objetivo final descobrir credenciais de sites, como bancos e grandes provedores.Pelos registros da Netlab em 360, que descobriu o golpe, as URLs brasileiras da Netflix, Santander e Citibank foram algumas das invasoras pelo GhostDNS.A seguir, saiba tudo sobre o malware e aprenda como se proteger.
Malware GhostDNS infesta mais de 100 mil roteadores e pode roubar dados bancários — Foto: Reprodução/Pond5
O malware reportado pela Netlab at 360 realizou um ataque conhecido como DNSchange.De uma forma geral, o golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações indicadas por padrão pelos fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscf.cgi.Com acesso às configurações do roteador, o malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.
O GhostDNS é uma versão bastante aprimorada desta tática.Ele contém três versões do DNSChanger, com o nome próprio do Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger.O PyPhp DNSChanger é o principal módulo entre os três, tendo sido implantado em mais de 100 servidores, na maioria Google Cloud.Juntos, eles reúnem mais de 100 scripts de ataque de redes, redes e redes nas intranets.
Como se não bastasse, há ainda três outros módulos estruturais no GhostDNS, além do DNSChanger.O primeiro DNS Rouge, que é o servidor de banco de dados, sequestrou os outros sites com confiabilidade para serviços e bancos de dados.O segundo é o sistema de phishing na web, que pega os falsos de IP dos domínios e faz a interação com vítimas por meio de sites.Por fim, há o sistema de administração da web, sobre o qual os especialistas têm poucas informações de funcionamento.
O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site malicioso.Assim, mesmo quando um usuário identifica mudanças na interface da página, é levado a acreditar que está em um ambiente seguro.Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.
No período de 21 a 27 de setembro, o Netlab em 360 encontrou pouco mais de 100 milhões de roteadores infectados.Sobremesas, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil.Contudo, devido às variações dos cuidados, o número real pode ser um pouco diferente.
Os roteadores DNSChanger foram alterados por módulosChanger.No Shell DNSChanger, os seguintes modelos foram identificados:
A primeira providência a tomar é mudar o senha do remetente, especialmente se você usar o código padrão ou adotar uma senha fraca.Também é atualizado o firmware do roteador e nas configurações se o DNS foi alterado.
O TechTudo entrou em contato com a Intelbras, que desconhece o problema em seus roteadores: “informamos que não temos até nenhum caso registrado de comentários aos nossos usuários por meio de nossos canais de atendimento 14, correspondente a qualquer vulnerabilidade de roteadores Intelbras”.Em relação à orientação que os mantém, a empresa mantém a rotina de atualização dos equipamentos: “Controle e atualização de firmwares de segurança estão disponíveis em nosso site (www.intelbras.com.br/download)”.
A Multilaser também afirma que não há relatos de problemas até agora.“Não houve contato de nenhum cliente por meio dos canais de atendimento que pudesse ser ligado ao ocorrido.A Multilaser orienta os consumidores a entrarem em contato com o suporte para mais informações sobre atualizações e configurações dos aparelhos da marca”.
A D-Link informa que a vulnerabilidade já foi reportada.Segundo o comunicado enviado ao TechTudo, a empresa disponibilizou uma solução aos usuários de seus roteadores.“A D-Link reitera a importância da atualização constante do firmware dos roteadores por parte dos usuários, que potencializa a segurança dos equipamentos e da conexão”, completa.
A TP-Link afirma estar ciente do problema e recomenda que os usuários mantenham o firmware atualizado e troquem a senha de seus dispositivos.A TP-Link está ciente das pesquisas à vulnerabilidade de seus roteadores, como forma de prevenção contra esse malware possível, a TP-Link a seguir passos: