Início » Antivírus e Segurança » GhostDNS: malware que muda DNS de roteadores mira bancos e Netflix

GhostDNS: malware que muda DNS de roteadores mira bancos e Netflix

Ataque mais recente do GhostDNS leva a sites falsos do Bradesco, Netflix e outros

Emerson Alecrim Por

Descoberto há mais de um ano, o GhostDNS continua fazendo vítimas pelo Brasil. O malware modifica as configurações de DNS de roteadores vulneráveis para direcionar o usuário a sites falsos quando ele tenta acessar páginas de bancos como Bradesco e Santander, e de serviços como PagSeguro e Netflix.

Roteador Wi-Fi (Por Pixabay)

O modo de propagação não mudou de um ano para cá. De acordo com a Avast, a praga infecta roteadores quando o usuário acessa sites que exibem publicidade maliciosa distribuída por redes de anúncios.

Nessa circunstância, o usuário é direcionado a um página que contém o GhostDNS Exploit Kit, conjunto de ferramentas que permite que o roteador seja infectado. Toda a ação é executada em segundo plano, sem que o usuário perceba.

Se o ataque funcionar, o roteador terá suas configurações de DNS modificadas para direcionar o usuário a sites falsos de bancos e outros serviços, como já dito. Ainda segundo a Avast, estes foram os endereços mais visados durante o mês de novembro (mas não os únicos):

  • bradesco.com.br
  • santandernetibe.com.br
  • pagseguro.com.br
  • terra.com.br
  • uol.com.br
  • netflix.com

O site falso do Bradesco chamou bastante atenção: ele é muito parecido com a página verdadeira do banco. No entanto, a Avast aponta alguns sinais de alerta, como o fato de vários links não funcionarem e de o navegador indicar que o site não é seguro (não tem HTTPS).

Se o usuário não perceber a cilada, irá digitar as suas informações de login na página e, em seguida, verá um aviso dizendo que o sistema está temporariamente indisponível. Na verdade, ele simplesmente terá fornecido seus dados de acesso à sua conta bancária a criminosos.

Página falsa do Bradesco

Página falsa do Bradesco

De modo geral, o objetivo dos sites falsos é justamente capturar credenciais. Isso ajuda a explicar, por exemplo, o fato de contas da Netflix serem vendidas na dark web ou em grupos obscuros de WhatsApp.

O pico mais recente de ação do GhostDNS parece ter ocorrido em 25 de novembro. A Avast afirma ter bloqueado, na data, cerca de 5.500 tentativas de ataque vindas de dois sites maliciosos. Todos os endereços modificados apontavam para um servidor na Digital Ocean que, uma semana depois, ainda estava ativo.

Como se proteger do GhostDNS

A dica mais importante é instalar a versão atual do firmware do seu roteador, independentemente da marca. Se o equipamento for antigo, é uma boa ideia trocá-lo por um modelo mais recente. Quando possível, mudar o login e a senha padrão de acesso ao roteador também é recomendável.

Verificar periodicamente se as configurações de DNS do roteador estão certas é outra boa medida de segurança.

Observe ainda o site que você está acessando. Se notar qualquer coisa errada, não faça login. Em complemento, ative a autenticação em dois fatores sempre que esse recurso estiver disponível.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Jayson Silva

"No entanto, a Avast aponta alguns sinais de alerta, como o fato de
vários links não funcionarem e de o navegador indicar que o site não é
seguro (não tem HTTPS)."

Guilherme Borges Cunha

Alguns provedores já estão fornecendo roteadores que vêm com nome de usuário e senha gerados aleatoriamente no momento da instalação.

johndoe1981
Quando possível, mudar o login e a senha padrão de acesso ao roteador também é recomendável.

Bom mudar a senha padrão de modems cedidos por provedores também, sempre faço isso como precaução.

Sivaldo Ferreira

D-LINK DIR615-T1 conseguiram trocar o DNS e a senha de acesso, resolvemos aqui com uns 500 cientes somente indo ao local resetando e configurando novamente, detalhe FW atual instalada, tp-link não aconteceu e D-LINK me afirma que o roteador é seguro.

Emanuel

Manda o contato do seu fornecedor

Jhonatan Paiva

Quando li essa parte, deu até vontade de fechar o browser.

EDER BATERA

Eu trabalhei na vivo entre 2011 e 2017, e os campeões de invasão eram os TPlinks conectados direto com ip público.
Mais pelo menos na Vivo o ataque não funciona pois derrubava a conexão do cliente: A vivo usa pppoe, sendo assim os roteadores comuns pra setar dns manual tem que mudar pra dhcp, e isso derrubava a conexão.

Meiksonq
Jacques

Existem desses dai que mexem no dns faz tempo, maioria deles exploita os roteadores que usam autenticação com senha via popup.

Basicamente os TP-Link e Dlink antigos, os DLinks se salvam somente atualizando o firmware, o tplink se trocar a senha padrão já ajuda

Hyakkimaru

O certificado protege justamente contra isso que a matéria está relatando, hijack de domínios. Não dá para fazer um certificado com o domínio "bradesco.com.br".

Andre Kittler

Somos bons né!
\ o /

Trovalds

Falou, falou e não disse nada. Parabéns.

Andre Kittler

Ah claro, atualizar o firmware. Coisa besta, todos que possuem esse tal de "roteador" fazem, basta procurar no google "atualizar o furmiuere do meu roteador", primeiro resultado.
A opção 2 é otima. É muito velho? (6 meses, ou 6 anos, vai pelo feeling). Bá o meu, toca fora....

Aomenos tem a opção 3, mas essa é para os fracos. Evita ser invadido na pratica em 99+% das vezes, mas hei... usa como ultima alternativa apenas!

Trovalds

O melhor antivirus é o usuário.

Trovalds

Olha, não só por aqui. Ultimamente é difícil até ter uma conversa civilizada.

Exibir mais comentários