Ataque altera DNS de roteadores D-Link e leva a sites falsos de bancos
Quatro modelos de roteadores D-Link são vulneráveis, além de equipamentos Secutech e Totolink
Roteador D-Link DSL-2640B
Se você tem um roteador D-Link, atenção: a empresa de segurança Ixia reportou ataques que modificam as configurações de DNS de alguns equipamentos da marca para levar o usuário a sites falsos de serviços como Gmail, Netflix e Uber. Aparentemente, os ataques visam sobretudo usuários brasileiros: os sites dos principais bancos e serviços de hospedagem web do Brasil também são redirecionados.
Um servidor de DNS tem a função de indicar qual o endereço de um site, basicamente. O que as ataques fazem é mudar as configurações do roteador para um serviço de DNS fraudulento que, como tal, aponta para endereços falsos quando o usuário tenta acessar determinados sites. Milhares de roteadores já foram atingidos.
O analista de segurança Troy Mursch disse que o primeiro ataque ocorreu no fim de 2018 e afetou principalmente quatro modelos de modems / roteadores da D-Link:
- D-Link DSL-2640B
- D-Link DSL-2740R
- D-Link DSL-2780B
- D-Link DSL-526B
Em agosto de 2018, esses mesmos equipamentos foram alvos de um ataque que levava a uma página falsa do Banco do Brasil.
Também houve uma onda de ataques em fevereiro e outra na semana passada. Nessas ações, os equipamentos DSLink 260E e ARG-W4 ADSL foram afetados, o mesmo valendo para roteadores da Secutech e Totolink.
Os autores dos ataques têm usado principalmente a Google Cloud Platform para fazer varreduras em roteadores vulneráveis e enviar a eles códigos com modificações de DNS. De acordo com a Ixia, os endereços modificados são os seguintes:
- Globais:
- paypal.com
- gmail.com
- uber.com
- netflix.com
- Serviços de hospedagens brasileiros:
- hostgator.com.br
- kinghost.com.br
- uolhost.uol.com.br
- locaweb.com.br
- Bancos e instituições financeiras brasileiras:
- caixa.gov.br
- itau.com.br
- bb.com.br
- sicredi.com.br
- cetelem.com.br
- bancobrasil.com.br
- santander.com.br
- pagseguro.uol.com.br
- santandernet.com.br
- bancointer.com.br
- bradesconetempresa.b.br
- superdigital.com.br
Alguns dos endereços de DNS fraudulentos já foram derrubados. Além disso, o Google remove aplicações maliciosas da sua plataforma nas nuvens quando recebe denúncias. O problema é que os invasores podem simplesmente lançar novos ataques com outros servidores, por isso, a prevenção continua sendo mandatória.
É importante atualizar o firmware do seu roteador — todos os quatro roteadores D-Link têm updates disponíveis — ou mesmo trocar modelos antigos por atuais. Verificar periodicamente os endereços de DNS e outras configurações do equipamento também é uma boa medida.
Com informações: Ars Technica.
![Qual o melhor DNS [e por que?]](https://files.tecnoblog.net/wp-content/uploads/2019/03/DNS-340x191.png)
![Como encontrar o melhor DNS para a sua conexão [Atualizado]](https://files.tecnoblog.net/wp-content/uploads/2016/05/internet_ethernet_cables-100x100.png)
