Um sofisticado sistema de sequestro de DNS para roubo de dados, o GhostDNS, já atingiu mais de 100 mil roteadores, sendo que 87% deles estão no Brasil. Segundo a Netlab – empresa especializada em segurança da informação – o malware foi detectado em mais de 70 modelos.
Como explica o ‘TechTudo’, o ataque tem o objetivo de descobrir credenciais de sites como os de bancos e grandes provedores. O estudo da Netlab at 360, que descobriu o golpe, revelou que URLs brasileiras da Netflix, Santander e Citibank foram algumas das vítimas do GhostDNS.
Como funciona
O golpe, conhecido como DNSchange, tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, entre outros; ou explorando o dnscfg.cgi, sem passar pela autenticação.
Após acessar as configurações do roteador, o malware altera o endereço DNS padrão para IPs de sites mal-intencionados.
Riscos
Com o sequestro do DNS, mesmo se o usuário digitar a URL correta do banco no navegador, pode ocorrer o direcionamento para o IP de um site malicioso. Assim, senhas de banco, serviços de armazenamento na nuvem e outras credenciais podem ser capturadas por hackers.
Roteadores afetados
O Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados de 21 a 27 de setembro. Do total, 87,8% (cerca de 87.800) estão no Brasil. No entanto, devido a variações dos endereços, o número pode ser diferente.
Os roteadores afetados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os modelos identificados foram:
3COM OCR-812
AP-ROUTER
D-LINK
D-LINK DSL-2640T
D-LINK DSL-2740R
D-LINK DSL-500
D-LINK DSL-500G/DSL-502G
Huawei SmartAX MT880a
Intelbras WRN240-1
Kaiomy Router
MikroTiK Routers
OIWTECH OIW-2415CPE
Ralink Routers
SpeedStream
SpeedTouch
Tenda
TP-LINK TD-W8901G/TD-W8961ND/TD-8816
TP-LINK TD-W8960N
TP-LINK TL-WR740N
TRIZ TZ5500E/VIKING
VIKING/DSLINK 200 U/E
Roteadores afetados pelo Js DNSChanger:
A-Link WL54AP3 / WL54AP2
D-Link DIR-905L
Roteador GWR-120
Secutech RiS Firmware
SMARTGATE
TP-Link TL-WR841N / TL-WR841ND
Roteadores afetados pelo PyPhp DNSChanger:
AirRouter AirOS
Antena PQWS2401
C3-TECH Router
Cisco Router
D-Link DIR-600
D-Link DIR-610
D-Link DIR-615
D-Link DIR-905L
D-Link ShareCenter
Elsys CPE-2n
Fiberhome
Fiberhome AN5506-02-B
Fiberlink 101
GPON ONU
Greatek
GWR 120
Huawei
Intelbras WRN 150
Intelbras WRN 240
Intelbras WRN 300
LINKONE
MikroTik
Multilaser
OIWTECH
PFTP-WR300
QBR-1041 WU
Roteador PNRT150M
Roteador Wireless N 300Mbps
Roteador WRN150
Roteador WRN342
Sapido RB-1830
TECHNIC LAN WAR-54GS
Tenda Wireless-N Broadband Router
Thomson
TP-Link Archer C7
TP-Link TL-WR1043ND
TP-Link TL-WR720N
TP-Link TL-WR740N
TP-Link TL-WR749N
TP-Link TL-WR840N
TP-Link TL-WR841N
TP-Link TL-WR845N
TP-Link TL-WR849N
TP-Link TL-WR941ND
Wive-NG routers firmware
ZXHN H208N
Zyxel VMG3312
Como se proteger
Para se proteger, o usuário deve mudar a senha do roteador, atualizar o firmware e verificar nas configurações se o DNS foi alterado.
