A Avast anunciou ter detectado e bloqueado uma campanha de CSRF (Cross-Site Request Forgery) que visava infectar os roteadores de internautas brasileiros com um malware conhecido como GhostDNS, projetado para roubar credenciais de acesso a sistemas bancários e serviços online.
O GhostDNS não é uma ameaça nova. Já falamos sobre ele em 2018, e ele ressurge de tempos em tempos. A Avast afirma ter protegido cerca de 4,5 mil usuários de seus produtos no Brasil, e bloqueado mais de 10 mil tentativas de ataque feitas a seus roteadores.
A campanha é feita em duas etapas: primeiro os criminosos infectam roteadores vulneráveis e modificam suas configurações de DNS. Grosso modo, o DNS é um “sistema de endereçamento” na internet. Quando um usuário solicita o acesso a um site digitando uma URL (por exemplo: dev.olhardigital.com.br) um servidor DNS converte este endereço “amigável” em um endereço IP numérico que os computadores usam para se comunicar.
Um servidor DNS comprometido pode ser usado para redirecionar tentativas de acesso a sites legítimos, levando os usuários para sites maliciosos controlados pelos malfeitores. Esta é a segunda parte do ataque, que segundo a Avast ainda não estava sendo realizada.
O usuário pode, por exemplo, digitar o endereço correto do site de um banco e acabar em uma página falsa, que vai pedir seus dados de acesso para “confirmação” ou fazer um “recadastramento”. Do outro lado da tela estão os malfeitores, anotando estas informações.
Os kits de exploração de roteadores são populares no Brasil. No final do ano passado, a Avast descobriu duas landing pages hospedando Novidade, uma versão do kit de exploração GhostDNS. A campanha mais recente, monitorada pela Avast, também usou o Novidade.
Como acontece o ataque
Um ataque CSRF a um roteador é normalmente iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), que é veiculada por meio de redes de anúncios de terceiros para o site.
Nesse caso, os usuários são redirecionados automaticamente para uma página contendo um kit de exploração do roteador, iniciando o ataque em seu aparelho, sem a interação do usuário em segundo plano. A landing page que hospedava a variante GhostDNS era hxxp[:]//91.234.99[.]178/secure/
Os kits de exploração podem atacar com sucesso um roteador pois muitos deles são protegidos com senhas fracas, geralmente as credenciais de fábrica com as quais o roteador é entregue, amplamente conhecidas. De acordo com uma pesquisa online da Avast realizada em junho de 2018, com mais de 1.500 usuarios no Brasil, 43% deles nunca se conectaram à interface de administração de seu roteador para modificar as credenciais de acesso.
“Os ataques CSRF a roteadores são, infelizmente, muito populares no Brasil e vemos o kit de exploração Ghost DNS novamente sendo usado para direcionar os roteadores de brasileiros, de tempos em tempos”, diz Simona Musilová, Analista de Ameaças da Avast.
“Mesmo que a campanha não esteja mais ativa e os invasores ainda não tenham redirecionado os usuários para sites de phishing, isso não significa que aqueles infectados estejam seguros. Os invasores podem começar a redirecionar os usuários sem qualquer suspeita, a qualquer momento. No passado, os cibercriminosos redirecionavam os usuários que tentavam visitar sites de bancos populares ou sites como Netflix, para coletar credenciais de login”.
Permaneçam protegidos
Simona Musilová continua: “Os usuários devem ter cuidado ao visitar o site de seu banco ou qualquer outro site onde seja necessário fazer o login, e se certificar de que a página tenha um certificado válido – verificando o cadeado na barra URL do navegador”.
“Além disso, os usuários devem atualizar frequentemente o firmware do roteador para a versão mais recente e configurar as credenciais de login do roteador com uma senha forte”, diz Musilová. Siga este nosso passo-a-passo, e veja como proteger os computadores deste ameaça.
Fonte: Avast