GhostDNS: este é o nome de uma gigantesca botnet (ou rede de bots) que atacou mais de 100 mil roteadores no Brasil, que tiveram suas configurações DNS modificadas para redirecionar usuários para páginas de phishing. E isso acontece apenas quando os internautas daqui tentam acessar os sites dos principais bancos do país.

De acordo com a empresa de segurança Radware, cerca de 88% desses roteadores estão localizados no Brasil, sendo que o ataque vem ocorrendo desde meados de agosto, quando a companhia identificou uma estranha movimentação. De acordo com a Qihoo 360, também empresa chinesa também especializada em cibersegurança, o grupo por trás desses ataques aumentou as atividades nos últimos dias.

Como o botnet opera

Analisando as atividades envolvendo o GhostDNS, outra empresa de segurança, a Netlabs, detalhou o modo de funcionamento do ataque: os criminosos virtuais estão fazendo uma ampla varredura nos IPs dos roteadores brasileiros, buscando, principalmente, aqueles que usam senhas fracas ou que, simplesmente, não usam nenhum tipo de proteção. Dessa forma, eles conseguem acessar a configuração dos roteadores e as substituem por especificações legítimas do DNS pelos IPs dos servidores que estão sob seu controle.

A maiores dos sites alvo dos ataques é formada por bancos brasileiros e serviços de hospedagem. O redirecionamento promovido pelo ataque leva as vítimas para uma página de phishing, que rouba suas credenciais.

Os criminosos usam três módulos, apelidados de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger e todos codificados em diversas linguagens de programação, como JavaScript e PyPHP. Esses módulos, conseguem, por exemplo, forçar o acesso às senhas de 21 roteadores ou pacotes de firmware. A partir daí, ele consegue escanear e “sequestrar” outros roteadores e dispositivos em redes internas.

Para se ter uma ideia da força desse ataque, apenas um desses módulos usa 69 scripts e consegue descobrir as senhas de 47 modelos diferentes de roteadores.

Veja quais são as marcas de roteadores comprometidos

Entre os roteadores afetados pelo Ghost DNS, estão algumas marcas bem conhecidas dos brasileiros, como D-Link, Intelbras, Multilaser e TP-Link. Confira abaixo os modelos específicos que foram atacados:

  • AirRouter AirOS
  • Antena PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Roteador PNRT150M
  • Roteador Wireless N 300Mbps
  • Roteador WRN150
  • Roteador WRN342
  • Sapido RB-1830
 
Com ZDNet