Especialistas descobrem malware que redireciona conexão para DNS falso

Por Redação | 22 de Maio de 2015 às 14h00

Um ataque criado por criminosos brasileiros, que tem como objetivo mudar as configurações DNS de roteadores domésticos, foi descoberto por especialistas da Kaspersky Lab. Os atacantes utilizam ameaças com base na web, isto é, engenharias sociais e sites maliciosos para infectar os roteadores. Com isso, os servidores DNS que foram alterados direcionam os usuários para páginas de phishing de bancos brasileiros, programadas para capturar informações confidenciais como senhas.

Para iniciar o ataque, os criminosos utilizam um email malicioso e um pouco de engenharia social, solicitando o usuário a clicar em uma mensagem que diz: "Eu sou seu amigo e eu quero te contar que você está sendo traído, olhe estas fotos". Você pode pensar que dificilmente alguém iria cair neste tipo de golpe. No entanto, ele é mais eficaz do que parece. De acordo com os analistas da Kaspersky Lab, em três dias o link malicioso conseguiu 3.300 cliques. A maioria dos usuários está localizada no Brasil, China e Estados Unidos, provavelmente brasileiros ou pessoas que compreendam bem o português.

Ameaças direcionadas a roteadores não são novidade. No ano de 2011, pesquisadores descreveram um malware que visava dispositivos de rede. No Brasil a Kaspersky Lab documentou uma grande lista de ataques remotos, que começaram em 2011 ou 2012 afetaram mais de 4,5 milhões de modems DSL. O ataque explorava uma vulnerabilidade remota e mudava as configurações DNS. No entanto, esta abordagem "baseada na web" era algo novo para os criminosos brasileiros até agora. Acredita-se que isto irá se espalhar rapidamente entre eles, assim como o número de vítimas deve crescer.

Os usuários que clicaram no link do novo golpe são direcionados a um site cheio de conteúdo pornográfico. Enquanto isso, scripts em segundo plano começam a ser executados, tentando identificar a senha de seu roteador. Os scripts irão tentar diferentes combinações comuns como "root:root", "admin:admin" ou "admin:gvt12345". Nos teste feitos pelos especialistas, os scripts continuaram tentando combinações que apontam para o painel de controle do seu dispositivo de rede, tais como [yourIP] .rebootinfo.cgi ou [yourIP] .dnscfg.cgi ?. Cada um dos roteiros inclui os comandos para alterar os servidores de DNS primário e secundário.

Caso o usuário use credenciais padrão em seu roteador, não haverá uma interação e, com isso, ele nunca descobrirá que o ataque ocorreu. Em alguns casos, é possível que o site mostre um aviso solicitando que o usuário entre com as credenciais manualmente e, caso informe, o ataque será bem-sucedido.

Os pesquisadores da Kaspersky Lab descobriram que, para executar este procedimento, os cibercriminosos brasileiros utilizam ativamente nove servidores DNS e cinco domínios. Todos eles hospedam diversas páginas de phishing usando os maiores bancos nacionais. Os sites utilizados nos ataques estão filtrado o acesso direito usando referenciais HTTP, com o objetivo de prevenir o acesso de analistas a instituições de segurança.

Para se proteger contra ameaças como esta é preciso estar atento sobre as mensagens que você recebe. Tenha certeza que seu roteador utiliza uma senha que não é padrão em roteadores. Além disso, nunca insira credenciais em qualquer site que as solicite. Lembre-se de manter seu sistema operacional atualizado e obter um antivírus calibrado para bloquear este tipo de scripts automaticamente. Utilize senhas fortes, contendo letras e números, além de caracteres especiais.

Fonte: http://www.techtudo.com.br/noticias/noticia/2014/09/virus-mira-roteadores-e-redireciona-conexao-para-dns-falso-no-brasil.html?utm_source=facebook&utm_medium=social&utm_campaign=Editorial_not%C3%ADcia_vidadigital

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.