Malware VPNFilter infecta mais roteadores do que se pensava

Praga é capaz ainda de interceptar e manipular dados dos equipamentos da rede

há 5 anos e 10 meses • Atualizado há 2 anos e 4 meses

Duas semanas atrás, pesquisadores da Cisco em parceria com a Symantec alertaram sobre o VPNFilter, malware que infectou 500 mil roteadores em pelo menos 54 países. Acreditava-se que o principal objetivo da praga era criar botnets para ataques coordenados ou capturar dados específicos, como senhas. Agora, os especialistas voltam à cena para reportar que o VPNFilter pode atingir ainda mais equipamentos e realizar mais ações do que se pensava.

Em comunicado recente, a Talos, divisão de inteligência de segurança da Cisco, afirma que as primeiras análises indicavam que o VPNFilter estava orientado a realizar ações ofensivas, como derrubar ou invadir um servidor específico. Mas, agora, sabe-se que o malware também pode interceptar tráfego para, por exemplo, injetar código malicioso nas páginas exibidas no navegador.

Conforme explicado anteriormente, o malware age em três etapas. Na primeira, ele é instalado no roteador e fica ativo até o equipamento ser reiniciado. Na segunda, o malware é capaz de coletar dados e executar comandos. Na terceira, o VPNFilter acessa módulos que auxiliam as ações da segunda fase. Os pesquisadores agora sabem que, na última etapa, a praga pode interceptar dados dos dispositivos que estão na mesma rede do equipamento infectado.

É um ataque do tipo man-in-the-middle: o tráfego interceptado recebe código malicioso que pode ser usado, por exemplo, para modificar o conteúdo de uma página sem que o usuário perceba. Note que o site não é afetado no servidor; a página carregada no navegador é que é modificada.

O malware consegue até analisar a URL para encontrar sinais de que informações sensíveis estão sendo trafegadas, como senhas e identidade do usuário. Na interceptação, o VPNFilter pode ainda tentar rebaixar uma conexão de HTTPS para HTTP e, assim, capturar dados em texto plano.

Outro detalhe preocupante é o fato de o malware estar sendo usado para ações cuidadosamente selecionadas — como esvaziar a conta bancária de uma única pessoa — e não para interceptar a maior quantidade de dados possível, o que poderia facilitar o rastreamento e a mitigação da praga.

Equipamentos afetados

Os pesquisadores da Talos explicam que a lista de equipamentos vulneráveis aumentou consideravelmente. Entre eles estão roteadores e outros equipamentos de rede de marcas como Asus, D-Link e Huawei:

Asus:

RT-AC66U (novo)
RT-N10 (novo)
RT-N10E (novo)
RT-N10U (novo)
RT-N56U (novo)
RT-N66U (novo)

D-Link:

DES-1210-08P (novo)
DIR-300 (novo)
DIR-300A (novo)
DSR-250N (novo)
DSR-500N (novo)
DSR-1000 (novo)
DSR-1000N (novo)

Huawei:

HG8245 (novo)

Linksys:

E1200
E2500
E3000 (novo)
E3200 (novo)
E4200 (novo)
RV082 (novo)
WRVS4400N

Mikrotik:

CCR1009 (novo)
CCR1016
CCR1036
CCR1072
CRS109 (novo)
CRS112 (novo)
CRS125 (novo)
RB411 (novo)
RB450 (novo)
RB750 (novo)
RB911 (novo)
RB921 (novo)
RB941 (novo)
RB951 (novo)
RB952 (novo)
RB960 (novo)
RB962 (novo)
RB1100 (novo)
RB1200 (novo)
RB2011 (novo)
RB3011 (novo)
RB Groove (novo)
RB Omnitik (novo)
STX5 (novo)

Netgear:

DG834 (novo)
DGN1000 (novo)
DGN2200
DGN3500 (novo)
FVS318N (novo)
MBRN3000 (novo)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (novo)
WNR4000 (novo)
WNDR3700 (novo)
WNDR4000 (novo)
WNDR4300 (novo)
WNDR4300-TN (novo)
UTM50 (novo)

QNAP:

TS251
TS439 Pro
Outros dispositivos QNAP NAS com QTS

TP-Link:

R600VPN
TL-WR741ND (novo)
TL-WR841N (novo)

Ubiquiti:

NSM2 (novo)
PBE M5 (novo)

Upvel:

Modelos desconhecidos (novo)

ZTE:

ZXHN H108N (novo)

Não há maneira fácil de saber se um dispositivo está infectado, mas cuidados básicos ajudam na prevenção, como trocar a senha padrão do roteador e instalar a versão mais recente do firmware disponibilizado para o equipamento.

Com informações: Ars Technica.