Pesquisadores de cibersegurança descobriram uma nova campanha de malware, direcionada para o Brasil, que já invadiu mais de 100.000 roteadores. Ele altera configurações de DNS dos roteadores para enganar os usuários com sites falsos, especialmente relacionados a bancos, e roubar suas senhas.
Denominado GhostDNS, o malware é similar ao DNSChanger, e funciona alterando as configurações DNS em roteadores vulneráveis. Com isso, parte do tráfego da rede é desviado para servidores dos atacantes de forma a falsificar os sites de bancos, entre outros, e roubar as senhas dos usuários.
O GhostDNS varre a rede buscando roteadores vulneráveis, com senhas fracas ou até mesmo sem senha. O malware invade esses roteadores vulneráveis e altera a configuração referente a quais servidores DNS o roteador e os usuários da rede local devem utilizar. Controlando isso, o malware consegue redirecionar parte do tráfego para sites maliciosos que visam roubar senhas e outros dados pessoais dos usuários. Roteadores infectados com esse malware poderão redirecionar o tráfego de sites como Bradesco, Banco do Brasil, Caixa, Itaú, Santander, Citibank, Sicredi e Netflix.
Pelo levantamento realizado, o GhostDNS já invadiu mais de 100.000 roteadores, sendo 87,8% deles no Brasil. Algumas marcas/modelos de roteadores infectados localizados na pesquisa:
- 3COM OCR-812
- AirRouter AirOS
- Antena PQWS2401
- AP-ROUTER
- C3-TECH Router
- Cisco Router
- D-Link DIR-600
- D-Link DIR-610
- D-Link DIR-615
- D-Link DIR-905L
- D-Link DSL-2640T
- D-Link DSL-2740R
- D-Link DSL-500
- D-Link DSL-500G/DSL-502G
- D-Link ShareCenter
- Elsys CPE-2n
- Fiberhome
- Fiberhome AN5506-02-B
- Fiberlink 101 GPON ONU
- Greatek GWR-120
- Huawei
- Huawei SmartAX MT880a
- Intelbras WRN 150
- Intelbras WRN 240
- Intelbras WRN 300
- Intelbras WRN240-1
- Kaiomy Router
- LINKONE
- MikroTiK Routers
- Multilaser
- OIWTECH
- PFTP-WR300
- QBR-1041 WU
- Ralink Routers
- Sapido RB-1830
- SpeedStream
- SpeedTouch
- TECHNIC LAN WAR-54GS
- Tenda
- Thomson
- TP-Link Archer C7
- TP-Link TD-W8901G/TD-W8961ND/TD-8816
- TP-Link TD-W8960N
- TP-Link TL-WR1043ND
- TP-Link TL-WR720N
- TP-Link TL-WR740N
- TP-Link TL-WR749N
- TP-Link TL-WR840N
- TP-Link TL-WR841N
- TP-Link TL-WR841ND
- TP-Link TL-WR845N
- TP-Link TL-WR849N
- TP-Link TL-WR941ND
- TRIZ TZ5500E/VIKING
- DSLINK 200 U/E
- Wive-NG routers firmware
- ZTE ZXHN H208N
- Zyxel VMG3312
Como descobrir se meu roteador foi invadido?
O principal sintoma que indica que seu roteador foi invadido pelo GhostDNS ou DNSChanger é que ele irá fazer seu computador utilizar um servidor DNS estranho. É possível fazer um teste simples, que detecta a maior parte dos casos.
- Primeiramente descubra quais servidores DNS estão em uso pelo seu computador.
- Se os servidores DNS especificados em seu computador não coincidirem com algum dos seguintes padrões, recomendamos uma análise mais detalhada.
- 192.168.x.x
- 10.x.x.x
- 8.8.8.8
- 8.8.4.4
- 1.1.1.1
- 1.0.0.1
- 9.9.9.9
- 149.112.112.112
- 208.67.222.222
- 208.67.220.220
- 4.2.2.1
- 4.2.2.2
Como evitar problemas com o GhostDNS?
É possível evitar que o GhostDNS invada seu roteador utilizando uma senha forte na interface de gerenciamento do roteador. Além disso, manter o roteador com firmware atualizado, de acordo com as últimas versões oficiais de firmware lançadas pelo fabricante, também é uma medida importante para evitar problemas de segurança.
Outra solução muito eficaz é utilizar um sistema de controle de acesso à internet com Firewall de DNS, como é o caso do Lumiun. Em redes que utilizam o Lumiun, a probabilidade de contaminação dos equipamentos e invasão do roteador é reduzida, e, além disso, mesmo que o roteador tenha sido invadido e o DNS reconfigurado, o Lumiun irá proteger a rede e não irá permitir que esse tipo de invasão redirecione o tráfego dos usuários com base na alteração de DNS imposta pelo malware no roteador afetado. Com isso, empresas que utilizam o Lumiun estão sempre seguras contra todas campanhas de malware que visam desviar o tráfego por meio de invasão do roteador e modificação do DNS.
Referências
The Hacker News – GhostDNS: New DNS Changer Botnet Hijacked Over 100,000 Routers [Conteúdo em Inglês]
Netlab 360 – 70+ different types of home routers(all together 100,000+) are being hijacked by GhostDNS [Conteúdo em Inglês]
