Pesquisadores chineses de segurança cibernética descobriram uma ampla campanha de malware em andamento que já sequestrou mais de 100.000 roteadores domésticos e modificou suas configurações de DNS para hackear usuários com páginas maliciosas – especialmente se visitarem sites bancários – e roubar suas credenciais de login.
Apelidado de GhostDNS , a campanha tem muitas semelhanças com o infame malware DNSChanger que funciona alterando as configurações do servidor DNS em um dispositivo infectado, permitindo que os invasores direcionem o tráfego da Internet dos usuários através de servidores mal-intencionados e roubem dados confidenciais.
De acordo com um novo relatório
do NetLab da firma de cibersegurança Qihoo 360, assim como a campanha regular do DNSChanger, o GhostDNS verifica os endereços IP dos roteadores que usam senha fraca ou não, acessa as configurações dos roteadores e altera o endereço DNS padrão do roteador para o controlado por os atacantes.
Sistema GhostDNS: Lista de Módulos e Sub-Módulos
O sistema GhostDNS inclui principalmente quatro módulos:
1) Módulo DNSChanger: Este é o módulo principal do GhostDNS projetado para explorar roteadores direcionados com base nas informações coletadas.
O DNSChanger Module é composto de três submódulos, que os pesquisadores apelidaram de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger.
a.) Shell DNSChanger – Escrito na linguagem de programação Shell, este sub-módulo combina 25 scripts Shell que podem forçar brutalmente as senhas em roteadores ou pacotes de firmware de 21 fabricantes diferentes.
b.) Js DNSChanger – Principalmente escrito em JavaScript, este sub-módulo inclui 10 scripts de ataque projetados para infectar 6 roteadores ou pacotes de firmware.
“Sua estrutura funcional é dividida principalmente em scanners, geradores de carga útil e programas de ataque. O programa Js DNSChanger geralmente é injetado em sites de phishing, então funciona junto com o Phishing Web System”, dizem os pesquisadores.
c.) PyPhp DNSChanger – Escrito em Python e PHP, este submódulo contém 69 scripts de ataque contra 47 diferentes roteadores / firmware e foi encontrado em mais de 100 servidores, a maioria dos quais no Google Cloud, e inclui funcionalidades como Web API, Scanner. e módulo de ataque.
Este sub-módulo é o módulo central do DNSChanger que permite que os invasores varrem a Internet para encontrar roteadores vulneráveis.
2) Módulo Web Admin: Embora os pesquisadores ainda não tenham muita informação sobre este módulo, ele parece ser um painel de administração para atacantes seguros com uma página de login.
3) Módulo de DNS desonesto: Este módulo é responsável por resolver nomes de domÃnio direcionados dos servidores Web controlados pelo invasor, que envolvem principalmente serviços de hospedagem bancária e em nuvem, juntamente com um domÃnio que pertence a uma empresa de segurança chamada Avira.
“Não temos acesso ao servidor DNS do Rouge, por isso não podemos dizer com certeza quantos nomes DNS foram sequestrados, mas consultando o Alexa Top1M e os domÃnios Top1M do DNSMon contra o servidor DNS invasor (139.60.162.188), foram capazes de encontrar um total de 52 domÃnios sendo seqüestrados “, dizem os pesquisadores da NetLab.
4) Módulo da Web de phishing: quando um domÃnio segmentado é resolvido com êxito por meio do módulo DNS invasor, o módulo da web de Phishing procura server a versão certa para esse site especÃfico.
Segundo os pesquisadores, entre os dias 21 e 27 de setembro, a campanha do GhostDNS comprometeu mais de 100.000 roteadores, dos quais 87,8% dos dispositivos (que equivalem a 87.800) estão localizados apenas no Brasil, o que significa que o Brasil é o principal alvo dos invasores do GhostDNS.
Leia também: VPNFilter Router Malware Adiciona 7 Novos Módulos de Exploração de Rede
“Atualmente a campanha se concentra principalmente no Brasil, contamos 100k + endereços IP de roteadores infectados (87,8% localizados no Brasil), e mais de 70 roteadores / firmware foram envolvidos, e mais de 50 nomes de domÃnio como alguns grandes bancos no Brasil, até mesmo o Netflix e o Citibank.br foram sequestrados para roubar as credenciais de login do site correspondentes “, dizem os pesquisadores.
Como a campanha do GhostDNS é altamente dimensionada, utiliza um vetor de ataque diferente e adota o processo de ataque automatizado, o que representa uma ameaça real aos usuários. Portanto, os usuários são aconselhados a se protegerem.
Como proteger seu roteador doméstico de hackers
Para evitar que você seja vÃtima de tais ataques, é recomendável garantir que o roteador esteja executando a versão mais recente do firmware e defina uma senha forte para o portal da web do roteador.
Você também pode considerar desabilitar a administração remota, alterar seu endereço IP local padrão e codificar um servidor DNS confiável no roteador ou no sistema operacional.
Os pesquisadores da NetLab também recomendaram que os fornecedores de roteadores aumentassem a complexidade da senha padrão do roteador e aprimorassem o mecanismo de atualização de segurança do sistema para seus produtos.
Fonte:Â thehackernews.com
