Mais de 100 mil roteadores são atingidos por sofisticado sistema de sequestro para roubo de dados

Golpe que rouba dados bancários atinge milhares de roteadores no Brasil

Ataque visa descobrir credenciais de sites de bancos e grandes provedores

© iStock

Um sofisticado sistema de sequestro de DNS para roubo de dados, o GhostDNS, já atingiu mais de 100 mil roteadores, sendo que 87% deles estão no Brasil. Segundo a Netlab - empresa especializada em segurança da informação - o malware foi detectado em mais de 70 modelos.

Como explica o 'TechTudo', o ataque tem o objetivo de descobrir credenciais de sites como os de bancos e grandes provedores. O estudo da Netlab at 360, que descobriu o golpe, revelou que URLs brasileiras da Netflix, Santander e Citibank foram algumas das vítimas do GhostDNS.

Como funciona

O golpe, conhecido como DNSchange, tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, entre outros; ou explorando o dnscfg.cgi, sem passar pela autenticação.

Após acessar as configurações do roteador, o malware altera o endereço DNS padrão para IPs de sites mal-intencionados.

Riscos

Com o sequestro do DNS, mesmo se o usuário digitar a URL correta do banco no navegador, pode ocorrer o direcionamento para o IP de um site malicioso. Assim, senhas de banco, serviços de armazenamento na nuvem e outras credenciais podem ser capturadas por hackers.

Roteadores afetados

O Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados de 21 a 27 de setembro. Do total, 87,8% (cerca de 87.800) estão no Brasil. No entanto, devido a variações dos endereços, o número pode ser diferente.

Os roteadores afetados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os modelos identificados foram:

3COM OCR-812

AP-ROUTER

D-LINK

D-LINK DSL-2640T

D-LINK DSL-2740R

D-LINK DSL-500

D-LINK DSL-500G/DSL-502G

Huawei SmartAX MT880a

Intelbras WRN240-1

Kaiomy Router

MikroTiK Routers

OIWTECH OIW-2415CPE

Ralink Routers

SpeedStream

SpeedTouch

Tenda

TP-LINK TD-W8901G/TD-W8961ND/TD-8816

TP-LINK TD-W8960N

TP-LINK TL-WR740N

TRIZ TZ5500E/VIKING

VIKING/DSLINK 200 U/E

Roteadores afetados pelo Js DNSChanger:

A-Link WL54AP3 / WL54AP2

D-Link DIR-905L

Roteador GWR-120

Secutech RiS Firmware

SMARTGATE

TP-Link TL-WR841N / TL-WR841ND

Roteadores afetados pelo PyPhp DNSChanger:

AirRouter AirOS

Antena PQWS2401

C3-TECH Router

Cisco Router

D-Link DIR-600

D-Link DIR-610

D-Link DIR-615

D-Link DIR-905L

D-Link ShareCenter

Elsys CPE-2n

Fiberhome

Fiberhome AN5506-02-B

Fiberlink 101

GPON ONU

Greatek

GWR 120

Huawei

Intelbras WRN 150

Intelbras WRN 240

Intelbras WRN 300

LINKONE

MikroTik

Multilaser

OIWTECH

PFTP-WR300

QBR-1041 WU

Roteador PNRT150M

Roteador Wireless N 300Mbps

Roteador WRN150

Roteador WRN342

Sapido RB-1830

TECHNIC LAN WAR-54GS

Tenda Wireless-N Broadband Router

Thomson

TP-Link Archer C7

TP-Link TL-WR1043ND

TP-Link TL-WR720N

TP-Link TL-WR740N

TP-Link TL-WR749N

TP-Link TL-WR840N

TP-Link TL-WR841N

TP-Link TL-WR845N

TP-Link TL-WR849N

TP-Link TL-WR941ND

Wive-NG routers firmware

ZXHN H208N

Zyxel VMG3312

Como se proteger

Para se proteger, o usuário deve mudar a senha do roteador, atualizar o firmware e verificar nas configurações se o DNS foi alterado.

Tech ao Minuto