 |
| Imagem: Reprodução |
Descoberto há mais de um ano, o GhostDNS continua fazendo vítimas pelo Brasil. O malware modifica as configurações de DNS de roteadores vulneráveis para direcionar o usuário a sites falsos quando ele tenta acessar páginas de bancos como Bradesco e Santander, e de serviços como PagSeguro e Netflix.
O modo de propagação não mudou de um ano para cá. De acordo com a Avast, a praga infecta roteadores quando o usuário acessa sites que exibem publicidade maliciosa distribuída por redes de anúncios.
Nessa circunstância, o usuário é direcionado a um página que contém o GhostDNS Exploit Kit, conjunto de ferramentas que permite que o roteador seja infectado. Toda a ação é executada em segundo plano, sem que o usuário perceba.
Se o ataque funcionar, o roteador terá suas configurações de DNS modificadas para direcionar o usuário a sites falsos de bancos e outros serviços, como já dito. Ainda segundo a Avast, estes foram os endereços mais visados durante o mês de novembro (mas não os únicos):
- bradesco.com.br
- santandernetibe.com.br
- pagseguro.com.br
- terra.com.br
- uol.com.br
- netflix.com
 |
| Página falsa do Bradesco - Imagem: Reprodução |
O site falso do Bradesco chamou bastante atenção: ele é muito parecido com a página verdadeira do banco. No entanto, a Avast aponta alguns sinais de alerta, como o fato de vários links não funcionarem e de o navegador indicar que o site não é seguro (não tem HTTPS).
Se o usuário não perceber a cilada, irá digitar as suas informações de login na página e, em seguida, verá um aviso dizendo que o sistema está temporariamente indisponível. Na verdade, ele simplesmente terá fornecido seus dados de acesso à sua conta bancária a criminosos.
De modo geral, o objetivo dos sites falsos é justamente capturar credenciais. Isso ajuda a explicar, por exemplo, o fato de contas da Netflix serem vendidas na dark web ou em grupos obscuros de WhatsApp.
O pico mais recente de ação do GhostDNS parece ter ocorrido em 25 de novembro. A Avast afirma ter bloqueado, na data, cerca de 5.500 tentativas de ataque vindas de dois sites maliciosos. Todos os endereços modificados apontavam para um servidor na Digital Ocean que, uma semana depois, ainda estava ativo.
Quem é afetado
Mais de 70 modelos de roteadores foram infectados, segundo a Netlab. A lista inclui equipamentos da D-Link (DSL-2640T, DSL-2740R, DSL-500, DSL-500G, DSL-502G e outros), TP-Link (TD-W8901G, TD-W8961ND, TD-8816, TD-W8960N, TL-WR740N e outros), Intelbras, Multilaser, Mikrotik, Tenda, 3COM, Huawei, SpeedTouch e SpeedStream.
Não há uma lista completa dos domínios cujo tráfego é desviado pelo DNS malicioso, mas pelo menos 52 foram identificados, incluindo os cinco maiores bancos do país, bem como provedores de hospedagem e até serviços de streaming, como a Netflix.
A D-Link informa que os equipamentos listados não fazem mais parte da linha de produtos da empresa. Diz ainda que "este incidente de segurança já foi reportado há algum tempo e que já disponibilizou a solução aos consumidores".
Como se proteger do GhostDNS
A dica mais importante é instalar a versão atual do firmware do seu roteador, independentemente da marca. Se o equipamento for antigo, é uma boa ideia trocá-lo por um modelo mais recente. Quando possível, mudar o login e a senha padrão de acesso ao roteador também é recomendável.
Verificar periodicamente se as configurações de DNS do roteador estão certas é outra boa medida de segurança.
Observe ainda o site que você está acessando. Se notar qualquer coisa errada, não faça login. Em complemento, ative a autenticação em dois fatores sempre que esse recurso estiver disponível.
Fonte: tecnoblog
