compartilhar no whatsapp compartilhar no telegram compartilhar no facebook compartilhar no linkedin

Especialistas
descobriram que o GhostDNS, um sofisticado sistema de sequestro de DNS para roubo de dados, está afetando mais de 100 mil
roteadores – 87% deles no Brasil.

De
acordo com a Netlab, empresa especializada em segurança da informação, o
malware foi encontrado em mais 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.

Usando
o método de phishing, o ataque tem como objetivo final descobrir credenciais de
sites importantes, como bancos e grandes provedores.

Pelos
registros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander e Citibank foram algumas das invadidas
pelo GhostDNS. A seguir, saiba tudo sobre o malware e aprenda como se proteger.

O que é o ataque?

O malware reportado pela Netlab at 360 realiza um ataque
conhecido como DNSchange. De uma forma geral, este golpe tenta adivinhar a
senha do roteador na página de configuração web usando identificações definidas
por padrão pelas fabricantes, como admin/admin, root/root, etc.

Outra maneira é pular a
autenticação explorando dnscfg.cgi. Com acesso às configurações do roteador, o
malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis,
como os de bancos – para IPs de sites mal-intencionados.

O
GhostDNS é uma versão bastante aprimorada desta tática. Ele conta com três
versões de DNSChanger, chamados no próprio código de Shell DNSChanger, Js
DNSChanger e PyPhp DNSChanger.

O PyPhp DNSChanger é o
principal módulo entre os três, tendo sido implantado em mais de 100
servidores, a maioria Google Cloud. Juntos, eles reúnem mais de 100 scripts de
ataque, destinados a roteadores nas redes de Internet e intranet.

Como
se não bastasse, há ainda outros três módulos estruturais no GhostDNS, além do
DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de
bancos, serviços na nuvem e outros sites com credenciais interessantes para os
criminosos. O segundo é o sistema de phishing na web, que pega os endereços de
IP dos domínios roubados e faz a interação com as vítimas por meio de sites
falsos. Por fim, há o sistema de administração web, sobre o qual os
especialistas ainda têm poucas informações do funcionamento.

Riscos do ataque

O grande risco do ataque é que, com o sequestro do DNS, mesmo
que você digite a URL correta do seu banco no navegador, ela pode redirecionar
para o IP de um site malicioso. Assim, mesmo quando um usuário identifica
mudanças na interface da página, é levado a acreditar que está em um ambiente
seguro. Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de
armazenamento na nuvem e outras credenciais que podem ser usadas por
cibercriminosos. 

Quais roteadores foram afetados?

No período de 21 a 27 de setembro, o Netlab at 360 encontrou
pouco mais de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – ou
seja, aproximadamente 87.800 – estão no Brasil. Contudo, devido às variações
dos endereços, o número real pode ser um pouco diferente.

Os
roteadores afetados foram infectados por diferentes módulos DNSChanger. No
Shell DNSChanger, os seguintes modelos foram identificados:

3COM OCR-812

AP-ROUTER

D-LINK

D-LINK
DSL-2640T

D-LINK
DSL-2740R

D-LINK DSL-500

D-LINK
DSL-500G/DSL-502G

Huawei SmartAX
MT880a

Intelbras
WRN240-1

Kaiomy Router

MikroTiK
Routers

OIWTECH
OIW-2415CPE

Ralink Routers

SpeedStream

SpeedTouch

Tenda

TP-LINK
TD-W8901G/TD-W8961ND/TD-8816

TP-LINK
TD-W8960N

TP-LINK
TL-WR740N

TRIZ
TZ5500E/VIKING

VIKING/DSLINK
200 U/E

Já os
roteadores afetados pelo Js DNSChanger foram estes:

A-Link WL54AP3
/ WL54AP2

D-Link DIR-905L

Roteador
GWR-120

Secutech RiS
Firmware

SMARTGATE

TP-Link
TL-WR841N / TL-WR841ND

Por fim, os
dispositivos atingidos pelo módulo principal, o PyPhp DNSChanger, são os
seguintes:

AirRouter AirOS

Antena PQWS2401

C3-TECH Router

Cisco Router

D-Link DIR-600

D-Link DIR-610

D-Link DIR-615

D-Link DIR-905L

D-Link
ShareCenter

Elsys CPE-2n

Fiberhome

Fiberhome
AN5506-02-B

Fiberlink 101

GPON ONU

Greatek

GWR 120

Huawei

Intelbras WRN
150

Intelbras WRN
240

Intelbras WRN
300

LINKONE

MikroTik

Multilaser

OIWTECH

PFTP-WR300

QBR-1041
WU

Roteador
PNRT150M

Roteador
Wireless N 300Mbps

Roteador
WRN150

Roteador
WRN342

Sapido
RB-1830

TECHNIC
LAN WAR-54GS

Tenda
Wireless-N Broadband Router

Thomson

TP-Link
Archer C7

TP-Link
TL-WR1043ND

TP-Link
TL-WR720N

TP-Link
TL-WR740N

TP-Link
TL-WR749N

TP-Link
TL-WR840N

TP-Link
TL-WR841N

TP-Link
TL-WR845N

TP-Link
TL-WR849N

TP-Link
TL-WR941ND

Wive-NG
routers firmware

ZXHN
H208N

Zyxel
VMG3312 

Como se proteger

A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código
padrão ou adota uma senha fraca. Também é recomendável atualizar o firmware do roteador e verificar nas configurações se o DNS foi alterado. 

​

---