Facebook Twitter Instagram
    Facebook Twitter Instagram LinkedIn WhatsApp
    Portal de NotíciasPortal de Notícias
    Fale Conosco
    • Home
    • Brasil
    • Carros
    • Variedades
    • Economia
    • Entretenimento
    • Saúde & Bem Estar
    Portal de NotíciasPortal de Notícias
    Home»Destaque»Novo golpe rouba dados bancários de milhares de brasileiros; veja lista de roteadores afetados
    Destaque

    Novo golpe rouba dados bancários de milhares de brasileiros; veja lista de roteadores afetados

    Por Gabriel Araújo3 de outubro de 2018
    Facebook Twitter WhatsApp

    Especialistas descobriram que o GhostDNS, um sofisticado sistema de sequestro de DNS para roubo de dados, está afetando mais de 100 mil roteadores – 87% deles no Brasil. De acordo com a Netlab, empresa especializada em segurança da informação, o malware foi encontrado em mais 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras.

    Usando o método de phishing, o ataque tem como objetivo final descobrir credenciais de sites importantes, como bancos e grandes provedores. Pelos registros da Netlab at 360, que descobriu o golpe, URLs brasileiras da Netflix, Santander e Citibank foram algumas das invadidas pelo GhostDNS. A seguir, saiba tudo sobre o malware e aprenda como se proteger.

    roteador internet 0
    Foto reprodução

    Malware GhostDNS infesta mais de 100 mil roteadores e pode roubar dados bancários — Foto: Reprodução/Pond5 Malware GhostDNS infesta mais de 100 mil roteadores e pode roubar dados bancários — Foto: Reprodução/Pond5
    Malware GhostDNS infesta mais de 100 mil roteadores e pode roubar dados bancários — Foto: Reprodução/Pond5

    O que é o ataque?
    O malware reportado pela Netlab at 360 realiza um ataque conhecido como DNSchange. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscfg.cgi. Com acesso às configurações do roteador, o malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.

    O GhostDNS é uma versão bastante aprimorada desta tática. Ele conta com três versões de DNSChanger, chamados no próprio código de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger. O PyPhp DNSChanger é o principal módulo entre os três, tendo sido implantado em mais de 100 servidores, a maioria Google Cloud. Juntos, eles reúnem mais de 100 scripts de ataque, destinados a roteadores nas redes de Internet e intranet.

    segurança hacker
    Foto reprodução

    Como se não bastasse, há ainda outros três módulos estruturais no GhostDNS, além do DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. O segundo é o sistema de phishing na web, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos. Por fim, há o sistema de administração web, sobre o qual os especialistas ainda têm poucas informações do funcionamento.

    Fluxograma do ataque promovido pelo GhostDNS a roteadores — Foto: Reprodução/Netlab at 360 Fluxograma do ataque promovido pelo GhostDNS a roteadores — Foto: Reprodução/Netlab at 360
    Fluxograma do ataque promovido pelo GhostDNS a roteadores — Foto: Reprodução/Netlab at 360

    Riscos do ataque
    O grande risco do ataque é que, com o sequestro do DNS, mesmo que você digite a URL correta do seu banco no navegador, ela pode redirecionar para o IP de um site malicioso. Assim, mesmo quando um usuário identifica mudanças na interface da página, é levado a acreditar que está em um ambiente seguro. Isso aumenta as chances de digitar senhas de banco, e-mail, serviços de armazenamento na nuvem e outras credenciais que podem ser usadas por cibercriminosos.

    Quais roteadores foram afetados?
    No período de 21 a 27 de setembro, o Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados. Desses, 87,8% – ou seja, aproximadamente 87.800 – estão no Brasil. Contudo, devido às variações dos endereços, o número real pode ser um pouco diferente.

    Contador de roteadores infectados pelo GhostDNS — Foto: Reprodução/Netlab at 360 Contador de roteadores infectados pelo GhostDNS — Foto: Reprodução/Netlab at 360
    Contador de roteadores infectados pelo GhostDNS — Foto: Reprodução/Netlab at 360

    Os roteadores afetados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os seguintes modelos foram identificados:

    3COM OCR-812
    AP-ROUTER
    D-LINK
    D-LINK DSL-2640T
    D-LINK DSL-2740R
    D-LINK DSL-500
    D-LINK DSL-500G/DSL-502G
    Huawei SmartAX MT880a
    Intelbras WRN240-1
    Kaiomy Router
    MikroTiK Routers
    OIWTECH OIW-2415CPE
    Ralink Routers
    SpeedStream
    SpeedTouch
    Tenda
    TP-LINK TD-W8901G/TD-W8961ND/TD-8816
    TP-LINK TD-W8960N
    TP-LINK TL-WR740N
    TRIZ TZ5500E/VIKING
    VIKING/DSLINK 200 U/E
    Já os roteadores afetados pelo Js DNSChanger foram estes:

    A-Link WL54AP3 / WL54AP2
    D-Link DIR-905L
    Roteador GWR-120
    Secutech RiS Firmware
    SMARTGATE
    TP-Link TL-WR841N / TL-WR841ND
    Por fim, os dispositivos atingidos pelo módulo principal, o PyPhp DNSChanger, são os seguintes:

    AirRouter AirOS
    Antena PQWS2401
    C3-TECH Router
    Cisco Router
    D-Link DIR-600
    D-Link DIR-610
    D-Link DIR-615
    D-Link DIR-905L
    D-Link ShareCenter
    Elsys CPE-2n
    Fiberhome
    Fiberhome AN5506-02-B
    Fiberlink 101
    GPON ONU
    Greatek
    GWR 120
    Huawei
    Intelbras WRN 150
    Intelbras WRN 240
    Intelbras WRN 300
    LINKONE
    MikroTik
    Multilaser
    OIWTECH
    PFTP-WR300
    QBR-1041 WU
    Roteador PNRT150M
    Roteador Wireless N 300Mbps
    Roteador WRN150
    Roteador WRN342
    Sapido RB-1830
    TECHNIC LAN WAR-54GS
    Tenda Wireless-N Broadband Router
    Thomson
    TP-Link Archer C7
    TP-Link TL-WR1043ND
    TP-Link TL-WR720N
    TP-Link TL-WR740N
    TP-Link TL-WR749N
    TP-Link TL-WR840N
    TP-Link TL-WR841N
    TP-Link TL-WR845N
    TP-Link TL-WR849N
    TP-Link TL-WR941ND
    Wive-NG routers firmware
    ZXHN H208N
    Zyxel VMG3312

    Como se proteger

    A primeira providência a tomar é mudar a senha do roteador, especialmente se você usa o código padrão ou adota uma senha fraca. Também é recomendável atualizar o firmware do roteador e verificar nas configurações se o DNS foi alterado.

    O que dizem as fabricantes

    O TechTudo entrou em contato com a Intelbras, que desconhece qualquer problema em seus roteadores: “informamos que não temos até o momento nenhum caso registrado de prejuízo aos nossos usuários por meio de nossos 14 canais de atendimento, correspondente a vulnerabilidade de roteadores Intelbras”. Em relação à segurança, a empresa orienta que os consumidores mantenham a rotina de atualização dos equipamentos: “o controle e a disponibilização de firmwares atualizados estão disponíveis em nosso site (www.intelbras.com.br/downloads)”.

    A TP-Link, D-Link, Multilaser e Huawei ainda não se pronunciaram até o momento da publicação desta matéria.

    Via Netlab at 360

    Gabriel Araújo
    • Facebook
    • Instagram
    • LinkedIn

    Jornalista, produtor de conteúdo digital, especialista em servidores Linux e Wordpress. Escreve sobre Carros, política, Esportes, Economia, Tecnologia, Ciência e Energias Renováveis.

    • Posts Recentes
    24 de março de 2023

    Nova pickup compacta da Toyota volta a ser cogitada

    23 de março de 2023

    As Melhores Apostas Esportivas para Jogadores Experientes

    21 de março de 2023

    Férias ao sol: destinos para viajar bem longe do frio

    15 de março de 2023

    Novo mini SUV da Toyota chega custando aproximadamente R$ 100 mil reais

    Portal de Notícias
    • Política de Privacidade
    • Termos de Uso
    © 2023 Portal de Notícias - Todos os direitos reservados

    Digite e pressione Enter para Pesquisar. Ou Esc para cancelar.