Ghost DNS: o botnet que está atacando roteadores brasileiros para roubar dados bancários

Ghost DNS: o botnet que está atacando roteadores brasileiros para roubar dados bancários

Ghost DNS: este é o nome de uma gigantesca botnet (ou rede de bots) que atacou mais de 100 mil roteadores no Brasil, que tiveram suas configurações DNS modificadas para redirecionar usuários para páginas de phishing. E isso acontece apenas quando os internautas daqui tentam acessar os sites dos principais bancos do país.

De acordo com a empresa de segurança Radware, cerca de 88% desses roteadores estão localizados no Brasil, sendo que o ataque vem ocorrendo desde meados de agosto, quando a companhia identificou uma estranha movimentação. De acordo com a Qihoo 360, também empresa chinesa também especializada em cibersegurança, o grupo por trás desses ataques aumentou as atividades nos últimos dias.

Como o botnet opera

Analisando as atividades envolvendo o Ghost DNS, outra empresa de segurança, a Netlabs, detalhou o modo de funcionamento do ataque: os criminosos virtuais estão fazendo uma ampla varredura nos IPs dos roteadores brasileiros, buscando, principalmente, aqueles que usam senhas fracas ou que, simplesmente, não usam nenhum tipo de proteção. Dessa forma, eles conseguem acessar a configuração dos roteadores e as substituem por especificações legítimas do DNS pelos IPs dos servidores que estão sob seu controle.

A maiores dos sites alvo dos ataques é formada por bancos brasileiros e serviços de hospedagem. O redirecionamento promovido pelo ataque leva as vítimas para uma página de phishing, que rouba suas credenciais.

Os criminosos usam três módulos, apelidados de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger e todos codificados em diversas linguagens de programação, como JavaScript e PyPHP. Esses módulos, conseguem, por exemplo, forçar o acesso às senhas de 21 roteadores ou pacotes de firmware. A partir daí, ele consegue escanear e “sequestrar” outros roteadores e dispositivos em redes internas.

Para se ter uma ideia da força desse ataque, apenas um desses módulos usa 69 scripts e consegue descobrir as senhas de 47 modelos diferentes de roteadores.

Veja quais são as marcas de roteadores comprometidos

Entre os roteadores afetados pelo Ghost DNS, estão algumas marcas bem conhecidas dos brasileiros, como D-Link, Intelbras, Multilaser e TP-Link. Confira abaixo os modelos específicos que foram atacados:

AirRouter AirOS
Antena PQWS2401
C3-TECH Router
Cisco Router
D-Link DIR-600
D-Link DIR-610
D-Link DIR-615
D-Link DIR-905L
D-Link ShareCenter
Elsys CPE-2n
Fiberhome
Fiberhome AN5506-02-B
Fiberlink 101
GPON ONU
Greatek
GWR 120
Huawei
Intelbras WRN 150
Intelbras WRN 240
Intelbras WRN 300
LINKONE
MikroTik
Multilaser
OIWTECH
PFTP-WR300
QBR-1041 WU
Roteador PNRT150M
Roteador Wireless N 300Mbps
Roteador WRN150
Roteador WRN342
Sapido RB-1830

Fonte: Olhar Digital - Por Rui Neto