nota4

Botnet que desvia tráfego destinado a bancos brasileiros infectou mais de 100 mil roteadores

Botnet redireciona tráfego sequestrado para mais de 50 sites de phishing ativos

Mais de 100 mil roteadores tiveram suas configurações de DNS modificadas para redirecionar os usuários para páginas de phishing. O redirecionamento ocorre apenas quando os usuários tentam acessar páginas de internet banking de bancos brasileiros.

Cerca de 88% desses roteadores estão localizados no Brasil, e as investidas acontecem desde meados de agosto, quando a empresa de segurança Radware identificou algo estranho.

Mas de acordo com novo relatório publicado na semana passada pela empresa chinesa de segurança cibernética Qihoo 360, o grupo por trás desses ataques aumentou o seu desempenho. Ao analisar grandes quantidades de dados coletados, a divisão Netlab da Qihoo 360 verificou detalhadamente o modus operandi do grupo.

De acordo com especialistas da Netlab, os hackers estão varrendo o espaço IP brasileiro em busca de roteadores que usam senhas fracas ou que não têm senha, acessam suas configurações e substituem configurações legítimas de DNS pelos IPs dos servidores DNS sob seu controle.

Essa alteração redireciona todas as consultas DNS que passam pelos roteadores comprometidos para os servidores DNS mal-intencionados, que respondem com informações incorretas em uma lista de 52 sites.

A maioria desses sites são bancos brasileiros e serviços de hospedagem na web, e o redirecionamento leva a uma página de phishing que rouba as credenciais das vítimas para esses sites.

Os atacantes fazem tudo isso com a ajuda de três módulos, que a Netlab apelidou de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger, todos baseados nas linguagens de programação nas quais foram codificados.

O primeiro módulo, Shell DNSChanger, é escrito no Shell e é uma combinação de 25 scripts Shell que podem forçar brutalmente as senhas de 21 roteadores ou pacotes de firmware.

Este sub módulo vem sendo usado apenas levemente, com implantação limitada pelo atacante, disseram os pesquisadores da Netlab no fim de semana.

O segundo módulo, Js DNSChanger, é escrito em JavaScript e é uma coleção de apenas 10 scripts JS que podem forçar brutalmente as senhas de seis roteadores ou pacotes de firmware.

Este só é implantado em roteadores já comprometidos para escanear e forçar pesadamente outros roteadores e dispositivos em redes internas.

O terceiro módulo, PyPhp DNSChanger, é escrito em uma combinação de Python e PHP e é o mais potente dos três. A Netlab diz que este módulo foi implantado em mais de 100 servidores do Google Cloud, de onde os invasores fazem constantemente o escaneamento da internet para identificar roteadores vulneráveis.

Este módulo usa 69 scripts de ataque que podem forçar brutalmente as senhas de 47 diferentes roteadores e pacotes de firmware.

Além disso, o módulo usa uma exploração que pode ignorar os procedimentos de autenticação para alguns roteadores e alterar as configurações de DNS. Essa vulnerabilidade em particular (conhecida como vulnerabilidade dnscfg.cgi) foi explorada no Brasil de maneira semelhante em fevereiro de 2015, também usada para alterar as configurações de DNS e redirecionar os usuários do banco brasileiro para sites de phishing.

Os pesquisadores da Netlab dizem que conseguiram acessar a área de administração deste terceiro módulo, onde descobriram que o PyPhp DNSChanger sozinho havia infectado mais de 62 mil roteadores.
width=450

Este terceiro módulo também parece usar o que parece ser uma chave de Shodan API roubada para identificar roteadores vulneráveis que pode explorar usando o mecanismo de busca Shodan IoT.

Ao todo, os operadores desse botnet, que a Netlab apelidou de GhostDNS, podem ter mais de 70 tipos diferentes de roteadores, já ter infectado mais de 100 mil roteadores e são atualmente páginas de phishing para mais de 70 serviços diferentes (as 52 URLs encontradas pelos pesquisadores do Netlab, além de outros 19 sites de phishing hospedados nos mesmos servidores de phishing, mas para os quais o GhostDNS ainda não havia redirecionado o tráfego).

A Netlab diz que notificou entidades afetadas, tais como ISPs brasileiros, sobre a campanha em andamento. Uma lista de URLs para os quais o GhostDNS está redirecionando o tráfego para páginas de phishing, juntamente com a lista de roteadores que o GhostDNS sabe ser capaz de infectar, estão disponíveis no relatório do Netlab, aqui.

Fonte: ZDNet

Tradução e adaptação: Edilma Rodrigues

No dia 29 de novembro será realizado o Fórum Brasileiro de Proteção de Dados. Garanta sua inscrição clicando aqui e atualize-se em relação ao tema.

Compartilhe

Notícias relacionadas

Blog
Mudança na natureza jurídica da ANPD fortalece aplicação da LGPD
Por Edilma Rodrigues A Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022 assinada pelo...
Blog
Mercado Pago usa tecnologia de segurança da Mastercard para criptos
A carteira digital do Mercado Livre, o Mercado Pago, vai usar
Blog
Ant Group lança banco digital para micro, pequenas e médias empresas em Singapura
O ANEXT Bank, banco digital de atacado de Singapura e parte do Ant Group, anunciou...
Blog
Cetelem vai reduzir 6 mil toneladas de CO² com emissão de cartões reciclados
O Banco Cetelem Brasil emitiu cerca de 370 mil cartões de plástico reciclado, desde o...

Assine o CANTAnews

Não perca a oportunidade de saber todas as atualizações do mercado, diretamente no seu e-mail

plugins premium WordPress
Scroll to Top