Usuários brasileiros alvo de um grande número de ataques a roteadores com o objetivo de modificar a configuração de seus roteadores para fins maliciosos.
Este ano, especialistas em segurança da Avast bloquearam mais de 4,6 milhões cross-site solicitar falsificação (CSRF) tentativas realizadas por bandidos para executar comandos sem o conhecimento dos usuários.
A campanha descoberta pelo Avast teve como objetivo modificar silenciosamente as configurações dos sistemas de nomes de domínio (DNS) dos usuários brasileiros para redirecionar as vítimas a sites maliciosos, imitando os legítimos.
O Crooks visava usuários de muitas organizações importantes, incluindo a Netflix e grandes bancos como Santander, Bradesco e Banco do Brasil.
Um ataque de CSRF de roteador pode ser lançado ao enganar as vítimas para visitar um site comprometido com publicidade maliciosa (malvertising ) normalmente veiculado por meio de redes de anúncios de terceiros no site.
“Avast frequentemente observa malvertising infecções em sites brasileiros locais que hospedam conteúdo adulto, filmes ilegais ou conteúdo esportivo. Apenas visitando um site comprometido, a vítima é redirecionada para uma página maliciosa, onde seu roteador é atacado automaticamente, sem interação do usuário ”, diz um post publicado pelo Avast.
"Malware então adivinha as senhas dos roteadores , que as novas pesquisas da Avast mostram frequentemente fracas. Em alguns casos, o roteador é reconfigurado para usar servidores DNS invasores, que redirecionam as vítimas para páginas de phishing que se parecem muito com sites bancários on-line reais. Mais recentemente, o Netflix se tornou um domínio popular para os sequestradores de DNS. ”
Os pesquisadores da Avast também observaram bandidos usando o seqüestro de DNS para entregar scripts de mineração de criptografia aos navegadores dos usuários.
Especialistas primeiro observaram os ataques do roteador no verão passado, pesquisadores daRadware e da Netlab os reportaram pela primeira vez.
Especialistas da Qihoo 360 NetLab informaram que entre 21 e 27 de setembro, a campanha do GhostDNS comprometeu mais de 100.000 roteadores, a maioria deles (87,8%) localizada no Brasil .
Em abril de 2019, especialistas da Bad Packets descobriram uma nova onda de ataques quevisavam comprometer os roteadores da D-Link, muitos dos quais hospedavam usuários brasileiros.
Segundo o Avast, no primeiro semestre de 2019, os hackers modificaram as configurações de DNS de mais de 180.000 roteadores brasileiros com ataques ainda mais complexos.
Os ataques do roteador envolveram um kit de exploração que tenta localizar o IP do roteador em uma rede e, em seguida, tenta adivinhar a senha usando credenciais de login comuns.
“A senha“ gvt12345 ”, por exemplo, sugere que hackers segmentam usuários com roteadores da antiga provedora de serviços de internet brasileira (ISP) GVT, que foi adquirida pela Teleônica Brasil, e é a maior empresa de telecomunicações do país”, afirma a análise. publicado pela Avast. “A senha“ vivo12345 ”é usada em roteadores distribuídos pelo ISP Vivo, que também é da marca Telefônica Brasil.”
Especialistas explicaram que a variante do GhostDNS Novidade foi uma das mais ativas em ataques de roteador contra usuários brasileiros.
O Avast confirmou que a Novidade tentou infectar os roteadores de seus usuários mais de 2,6 milhões de vezes somente em fevereiro, e os especialistas observaram pelo menos três campanhas divulgando o malware.
Nos últimos três meses, os especialistas também descobriram três dirigir por Os ataques de outro kit de exploração rastrearam “SonarDNS EK” porque ele era baseado no framework SONAR JS .
“Os usuários devem ter cuidado ao visitar o site do banco ou da Netflix e verificar se a página tem um certificado válido, verificando o cadeado na barra de URL do navegador. Além disso, os usuários devem atualizar frequentemente o firmware do roteador para a versão mais recente e configurar as credenciais de login do roteador com uma senha forte. ”Conclui o Avast.
