Roteadores vulneráveis são invadidos para redirecionar o tráfego web de usuários para sites de phishing, com o objetivo de roubar credenciais de login em serviços, redes sociais e sistemas bancários
O GhostDNS não é uma ameaça nova. Já falamos sobre ele em 2018, e ele ressurge de tempos em tempos. A Avast afirma ter protegido cerca de 4,5 mil usuários de seus produtos no Brasil, e bloqueado mais de 10 mil tentativas de ataque feitas a seus roteadores.
A campanha é feita em duas etapas: primeiro os criminosos infectam roteadores vulneráveis e modificam suas configurações de DNS. Grosso modo, o DNS é um “sistema de endereçamento” na internet. Quando um usuário solicita o acesso a um site digitando uma URL (por exemplo: olhardigital.com.br) um servidor DNS converte este endereço “amigável” em um endereço IP numérico que os computadores usam para se comunicar.
Um servidor DNS comprometido pode ser usado para redirecionar tentativas de acesso a sites legítimos, levando os usuários para sites maliciosos controlados pelos malfeitores. Esta é a segunda parte do ataque, que segundo a Avast ainda não estava sendo realizada.
O usuário pode, por exemplo, digitar o endereço correto do site de um banco e acabar em uma página falsa, que vai pedir seus dados de acesso para “confirmação” ou fazer um “recadastramento”. Do outro lado da tela estão os malfeitores, anotando estas informações.https://edb9da06a46cc21708e4a72bd0dd0d20.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html
Os kits de exploração de roteadores são populares no Brasil. No final do ano passado, a Avast descobriu duas landing pages hospedando Novidade, uma versão do kit de exploração GhostDNS. A campanha mais recente, monitorada pela Avast, também usou o Novidade.
Como acontece o ataque
Um ataque CSRF a um roteador é normalmente iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), que é veiculada por meio de redes de anúncios de terceiros para o site.
Nesse caso, os usuários são redirecionados automaticamente para uma página contendo um kit de exploração do roteador, iniciando o ataque em seu aparelho, sem a interação do usuário em segundo plano. A landing page que hospedava a variante GhostDNS era hxxp[:]//91.234.99[.]178/secure/
Os kits de exploração podem atacar com sucesso um roteador pois muitos deles são protegidos com senhas fracas, geralmente as credenciais de fábrica com as quais o roteador é entregue, amplamente conhecidas. De acordo com uma pesquisa online da Avast realizada em junho de 2018, com mais de 1.500 usuarios no Brasil, 43% deles nunca se conectaram à interface de administração de seu roteador para modificar as credenciais de acesso.
“Os ataques CSRF a roteadores são, infelizmente, muito populares no Brasil e vemos o kit de exploração Ghost DNS novamente sendo usado para direcionar os roteadores de brasileiros, de tempos em tempos”, diz Simona Musilová, Analista de Ameaças da Avast.
“Mesmo que a campanha não esteja mais ativa e os invasores ainda não tenham redirecionado os usuários para sites de phishing, isso não significa que aqueles infectados estejam seguros. Os invasores podem começar a redirecionar os usuários sem qualquer suspeita, a qualquer momento. No passado, os cibercriminosos redirecionavam os usuários que tentavam visitar sites de bancos populares ou sites como Netflix, para coletar credenciais de login”.
Permaneçam protegidos
Simona Musilová continua: “Os usuários devem ter cuidado ao visitar o site de seu banco ou qualquer outro site onde seja necessário fazer o login, e se certificar de que a página tenha um certificado válido – verificando o cadeado na barra URL do navegador”.
“Além disso, os usuários devem atualizar frequentemente o firmware do roteador para a versão mais recente e configurar as credenciais de login do roteador com uma senha forte”, diz Musilová. Siga este nosso passo-a-passo, e veja como proteger os computadores deste ameaça.
Fonte: Olhar Digital