Menu
sexta, 29 de março de 2024 Campo Grande/MS
RESULTADO GESTÃO MS
Geral

Novo golpe rouba dados bancários de milhares de brasileiros

Brasil é o principal alvo dos ataques, com mais de 87 mil roteadores infectados

03 outubro 2018 - 12h54Por Globo

Especialistas descobriram que o GhostDNS, um sofisticado sistema de sequestro de DNS para roubo de dados, está afetando mais de 100 mil roteadores – 87% deles no Brasil. De acordo com a Netlab, empresa especializada em segurança da informação, o malware foi encontrado em mais 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.

Usando o método de phishing, o ataque tem como objetivo final descobrir credenciais de sites importantes, como bancos e grandes provedores. Pelos registros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander e Citibank foram algumas das invadidas pelo GhostDNS. A seguir, saiba tudo sobre o malware e aprenda como se proteger.

O que é o ataque?

O malware reportado pela Netlab at 360 realiza um ataque conhecido como DNSchange. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscfg.cgi. Com acesso às configurações do roteador, o malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.

O GhostDNS é uma versão bastante aprimorada desta tática. Ele conta com três versões de DNSChanger, chamados no próprio código de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger. O PyPhp DNSChanger é o principal módulo entre os três, tendo sido implantado em mais de 100 servidores, a maioria Google Cloud. Juntos, eles reúnem mais de 100 scripts de ataque, destinados a roteadores nas redes de Internet e intranet.

Como se não bastasse, há ainda outros três módulos estruturais no GhostDNS, além do DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. O segundo é o sistema de phishing na web, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos. Por fim, há o sistema de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.

Riscos do ataque

O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site malicioso. Assim, mesmo quando um usuário identifica mudanças na interface da página, é levado a acreditar que está em um ambiente seguro. Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.

Quais roteadores foram afetados?

No período de 21 a 27 de setembro, o Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil. Contudo, devido às variações dos endereços, o número real pode ser um pouco diferente.

Os roteadores afetados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os seguintes modelos foram identificados:

•            3COM OCR-812

•            AP-ROUTER

•            D-LINK

•            D-LINK DSL-2640T

•            D-LINK DSL-2740R

•            D-LINK DSL-500

•            D-LINK DSL-500G/DSL-502G

•            Huawei SmartAX MT880a

•            Intelbras WRN240-1

•            Kaiomy Router

•            MikroTiK Routers

•            OIWTECH OIW-2415CPE

•            Ralink Routers

•            SpeedStream

•            SpeedTouch

•            Tenda

•            TP-LINK TD-W8901G/TD-W8961ND/TD-8816

•            TP-LINK TD-W8960N

•            TP-LINK TL-WR740N

•            TRIZ TZ5500E/VIKING

•            VIKING/DSLINK 200 U/E

Já os roteadores afetados pelo Js DNSChanger foram estes:

•            A-Link WL54AP3 / WL54AP2

•            D-Link DIR-905L

•            Roteador GWR-120

•            Secutech RiS Firmware

•            SMARTGATE

•            TP-Link TL-WR841N / TL-WR841ND

Por fim, os dispositivos atingidos pelo módulo principal, o PyPhp DNSChanger, são os seguintes:

•            AirRouter AirOS

•            Antena PQWS2401

•            C3-TECH Router

•            Cisco Router

•            D-Link DIR-600

•            D-Link DIR-610

•            D-Link DIR-615

•            D-Link DIR-905L

•            D-Link ShareCenter

•            Elsys CPE-2n

•            Fiberhome

•            Fiberhome AN5506-02-B

•            Fiberlink 101

•            GPON ONU

•            Greatek

•            GWR 120

•            Huawei

•            Intelbras WRN 150

•            Intelbras WRN 240

•            Intelbras WRN 300

•            LINKONE

•            MikroTik

•            Multilaser

•            OIWTECH

•            PFTP-WR300

•            QBR-1041 WU

•            Roteador PNRT150M

•            Roteador Wireless N 300Mbps

•            Roteador WRN150

•            Roteador WRN342

•            Sapido RB-1830

•            TECHNIC LAN WAR-54GS

•            Tenda Wireless-N Broadband Router

•            Thomson

•            TP-Link Archer C7

•            TP-Link TL-WR1043ND

•            TP-Link TL-WR720N

•            TP-Link TL-WR740N

•            TP-Link TL-WR749N

•            TP-Link TL-WR840N

•            TP-Link TL-WR841N

•            TP-Link TL-WR845N

•            TP-Link TL-WR849N

•            TP-Link TL-WR941ND

•            Wive-NG routers firmware

•            ZXHN H208N

•            Zyxel VMG3312

Como se proteger

A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca. Também é recomendável atualizar o firmware do roteador e verificar nas configurações se o DNS foi alterado.