Início » Segurança » Malware VPNFilter infecta mais roteadores do que se pensava

Malware VPNFilter infecta mais roteadores do que se pensava

Praga é capaz ainda de interceptar e manipular dados dos equipamentos da rede

Por
18 semanas atrás
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Duas semanas atrás, pesquisadores da Cisco em parceria com a Symantec alertaram sobre o VPNFilter, malware que infectou 500 mil roteadores em pelo menos 54 países. Acreditava-se que o principal objetivo da praga era criar botnets para ataques coordenados ou capturar dados específicos, como senhas. Agora, os especialistas voltam à cena para reportar que o VPNFilter pode atingir ainda mais equipamentos e realizar mais ações do que se pensava.

Em comunicado recente, a Talos, divisão de inteligência de segurança da Cisco, afirma que as primeiras análises indicavam que o VPNFilter estava orientado a realizar ações ofensivas, como derrubar ou invadir um servidor específico. Mas, agora, sabe-se que o malware também pode interceptar tráfego para, por exemplo, injetar código malicioso nas páginas exibidas no navegador.

Conforme explicado anteriormente, o malware age em três etapas. Na primeira, ele é instalado no roteador e fica ativo até o equipamento ser reiniciado. Na segunda, o malware é capaz de coletar dados e executar comandos. Na terceira, o VPNFilter acessa módulos que auxiliam as ações da segunda fase. Os pesquisadores agora sabem que, na última etapa, a praga pode interceptar dados dos dispositivos que estão na mesma rede do equipamento infectado.

É um ataque do tipo man-in-the-middle: o tráfego interceptado recebe código malicioso que pode ser usado, por exemplo, para modificar o conteúdo de uma página sem que o usuário perceba. Note que o site não é afetado no servidor; a página carregada no navegador é que é modificada.

O malware consegue até analisar a URL para encontrar sinais de que informações sensíveis estão sendo trafegadas, como senhas e identidade do usuário. Na interceptação, o VPNFilter pode ainda tentar rebaixar uma conexão de HTTPS para HTTP e, assim, capturar dados em texto plano.

Roteador Wi-Fi (Por Pixabay)

Outro detalhe preocupante é o fato de o malware estar sendo usado para ações cuidadosamente selecionadas — como esvaziar a conta bancária de uma única pessoa — e não para interceptar a maior quantidade de dados possível, o que poderia facilitar o rastreamento e a mitigação da praga.

Equipamentos afetados

Os pesquisadores da Talos explicam que a lista de equipamentos vulneráveis aumentou consideravelmente. Entre eles estão roteadores e outros equipamentos de rede de marcas como Asus, D-Link e Huawei:

Asus:

  • RT-AC66U (novo)
  • RT-N10 (novo)
  • RT-N10E (novo)
  • RT-N10U (novo)
  • RT-N56U (novo)
  • RT-N66U (novo)

D-Link:

  • DES-1210-08P (novo)
  • DIR-300 (novo)
  • DIR-300A (novo)
  • DSR-250N (novo)
  • DSR-500N (novo)
  • DSR-1000 (novo)
  • DSR-1000N (novo)

Huawei:

  • HG8245 (novo)

Linksys:

  • E1200
  • E2500
  • E3000 (novo)
  • E3200 (novo)
  • E4200 (novo)
  • RV082 (novo)
  • WRVS4400N

Mikrotik:

  • CCR1009 (novo)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (novo)
  • CRS112 (novo)
  • CRS125 (novo)
  • RB411 (novo)
  • RB450 (novo)
  • RB750 (novo)
  • RB911 (novo)
  • RB921 (novo)
  • RB941 (novo)
  • RB951 (novo)
  • RB952 (novo)
  • RB960 (novo)
  • RB962 (novo)
  • RB1100 (novo)
  • RB1200 (novo)
  • RB2011 (novo)
  • RB3011 (novo)
  • RB Groove (novo)
  • RB Omnitik (novo)
  • STX5 (novo)

Netgear:

  • DG834 (novo)
  • DGN1000 (novo)
  • DGN2200
  • DGN3500 (novo)
  • FVS318N (novo)
  • MBRN3000 (novo)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (novo)
  • WNR4000 (novo)
  • WNDR3700 (novo)
  • WNDR4000 (novo)
  • WNDR4300 (novo)
  • WNDR4300-TN (novo)
  • UTM50 (novo)

QNAP:

  • TS251
  • TS439 Pro
  • Outros dispositivos QNAP NAS com QTS

TP-Link:

  • R600VPN
  • TL-WR741ND (novo)
  • TL-WR841N (novo)

Ubiquiti:

  • NSM2 (novo)
  • PBE M5 (novo)

Upvel:

  • Modelos desconhecidos (novo)

ZTE:

  • ZXHN H108N (novo)

Não há maneira fácil de saber se um dispositivo está infectado, mas cuidados básicos ajudam na prevenção, como trocar a senha padrão do roteador e instalar a versão mais recente do firmware disponibilizado para o equipamento.

Com informações: Ars Technica.

Mais sobre: , ,