Início » Antivírus e Segurança » Malware VPNFilter infecta mais roteadores do que se pensava

Malware VPNFilter infecta mais roteadores do que se pensava

Praga é capaz ainda de interceptar e manipular dados dos equipamentos da rede

Emerson Alecrim Por

Duas semanas atrás, pesquisadores da Cisco em parceria com a Symantec alertaram sobre o VPNFilter, malware que infectou 500 mil roteadores em pelo menos 54 países. Acreditava-se que o principal objetivo da praga era criar botnets para ataques coordenados ou capturar dados específicos, como senhas. Agora, os especialistas voltam à cena para reportar que o VPNFilter pode atingir ainda mais equipamentos e realizar mais ações do que se pensava.

Em comunicado recente, a Talos, divisão de inteligência de segurança da Cisco, afirma que as primeiras análises indicavam que o VPNFilter estava orientado a realizar ações ofensivas, como derrubar ou invadir um servidor específico. Mas, agora, sabe-se que o malware também pode interceptar tráfego para, por exemplo, injetar código malicioso nas páginas exibidas no navegador.

Conforme explicado anteriormente, o malware age em três etapas. Na primeira, ele é instalado no roteador e fica ativo até o equipamento ser reiniciado. Na segunda, o malware é capaz de coletar dados e executar comandos. Na terceira, o VPNFilter acessa módulos que auxiliam as ações da segunda fase. Os pesquisadores agora sabem que, na última etapa, a praga pode interceptar dados dos dispositivos que estão na mesma rede do equipamento infectado.

É um ataque do tipo man-in-the-middle: o tráfego interceptado recebe código malicioso que pode ser usado, por exemplo, para modificar o conteúdo de uma página sem que o usuário perceba. Note que o site não é afetado no servidor; a página carregada no navegador é que é modificada.

O malware consegue até analisar a URL para encontrar sinais de que informações sensíveis estão sendo trafegadas, como senhas e identidade do usuário. Na interceptação, o VPNFilter pode ainda tentar rebaixar uma conexão de HTTPS para HTTP e, assim, capturar dados em texto plano.

Roteador Wi-Fi (Por Pixabay)

Outro detalhe preocupante é o fato de o malware estar sendo usado para ações cuidadosamente selecionadas — como esvaziar a conta bancária de uma única pessoa — e não para interceptar a maior quantidade de dados possível, o que poderia facilitar o rastreamento e a mitigação da praga.

Equipamentos afetados

Os pesquisadores da Talos explicam que a lista de equipamentos vulneráveis aumentou consideravelmente. Entre eles estão roteadores e outros equipamentos de rede de marcas como Asus, D-Link e Huawei:

Asus:

  • RT-AC66U (novo)
  • RT-N10 (novo)
  • RT-N10E (novo)
  • RT-N10U (novo)
  • RT-N56U (novo)
  • RT-N66U (novo)

D-Link:

  • DES-1210-08P (novo)
  • DIR-300 (novo)
  • DIR-300A (novo)
  • DSR-250N (novo)
  • DSR-500N (novo)
  • DSR-1000 (novo)
  • DSR-1000N (novo)

Huawei:

  • HG8245 (novo)

Linksys:

  • E1200
  • E2500
  • E3000 (novo)
  • E3200 (novo)
  • E4200 (novo)
  • RV082 (novo)
  • WRVS4400N

Mikrotik:

  • CCR1009 (novo)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (novo)
  • CRS112 (novo)
  • CRS125 (novo)
  • RB411 (novo)
  • RB450 (novo)
  • RB750 (novo)
  • RB911 (novo)
  • RB921 (novo)
  • RB941 (novo)
  • RB951 (novo)
  • RB952 (novo)
  • RB960 (novo)
  • RB962 (novo)
  • RB1100 (novo)
  • RB1200 (novo)
  • RB2011 (novo)
  • RB3011 (novo)
  • RB Groove (novo)
  • RB Omnitik (novo)
  • STX5 (novo)

Netgear:

  • DG834 (novo)
  • DGN1000 (novo)
  • DGN2200
  • DGN3500 (novo)
  • FVS318N (novo)
  • MBRN3000 (novo)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (novo)
  • WNR4000 (novo)
  • WNDR3700 (novo)
  • WNDR4000 (novo)
  • WNDR4300 (novo)
  • WNDR4300-TN (novo)
  • UTM50 (novo)

QNAP:

  • TS251
  • TS439 Pro
  • Outros dispositivos QNAP NAS com QTS

TP-Link:

  • R600VPN
  • TL-WR741ND (novo)
  • TL-WR841N (novo)

Ubiquiti:

  • NSM2 (novo)
  • PBE M5 (novo)

Upvel:

  • Modelos desconhecidos (novo)

ZTE:

  • ZXHN H108N (novo)

Não há maneira fácil de saber se um dispositivo está infectado, mas cuidados básicos ajudam na prevenção, como trocar a senha padrão do roteador e instalar a versão mais recente do firmware disponibilizado para o equipamento.

Com informações: Ars Technica.

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

forposts
No site da TPLINK Brasil não tem firmwares recentes daqueles modelos, só mais antigos de anos atrás. E daí? Vale o último?
Abraão Caldas
A instalação é bem tranquila, só achei mais estável que o original, infelizmente ele não tem espaço para instalar o SQM (pelo menos da última vez que tentei).
Marcos Porto
Tenho um desses aqui, o processo de instalação é tranquilo?Tem alguma feature nova destravada?
Gustavo Rotondo
concordo. google é uma empresa merreca que tem pouco valor de mercado, poucos usuários e contratam qualquer zé mane comentarista de blog para trabalhar la
Gustavo Rotondo
Minha rb esta com a ultima versão tambem, porem não vi no CL se trouxe essa correção.
Vilson Guimarães Junior
Exatamente isso!
LOL
deve ser a versão msm como vc disse v3 v4 v5. mas deve ter alguma correção de firmware o bom é trocar a senha admin / admin q vem de fabrica
jacob
Na verdade, pelo que eu entendi, são equipamentos que foram adicionados posteriormente a essa lista. A lista original de equipamentos afetados era bem menor que essa.
johndoe1981
Talvez seja uma revisão, 2ª versão, v2 etc.
Jorge Junior
Telegram > Whatsapp
Pedro m
O que significa esse "novo" após o modelo do roteador?tenho um tp link wr841nd v7 e fiquei preocupado...
Guto Revoredo
Uso uma Mikrotik RB 941, mas não falam qual versão do RouterOS foi afetada. Sempre atualizo o firmware, deixo tudo em dia.
Fábio Gonçalves
Arcadyan manda beijos
Luciano
É aqui que fala que o Telegram é melhor que o Whatsapp?
Abraão Caldas
TL-WR841N, eu tenho esse, felizmente com OpenWRT instalado.
Eduardo Braga
Vi tplink já levei um susto. Mas aparentemente o meu está de boas
SUPREMA AUTORIDADE MÁXIMA
Man tens certeza do que acabas de perguntar? Google e segurança não combinam na mesma sentença =)
André Kittler
Pode também colocar o DD-WRT ou Tomato... queimar no processo e comprar outro. Meu caso :(
Di Almeida
Achei que já teria algum comentário de Xiaomi fã aqui
grande_dino_2
Torce pra que dê pra trocar por um firmware open source como o DD-WRT ou o Tomato.Se não der, queima e compra outro. Meu caso :(
Marcos Porto
Trocar a senha blz!E quanto ao firmware atualizado até 2015?
Bruno Sousa
Nada da Synology?
Rodrigo Fogagnolo
Estou seguro com o Google WiFi?