Ataque altera DNS de roteadores D-Link e leva a sites falsos de bancos

Quatro modelos de roteadores D-Link são vulneráveis, além de equipamentos Secutech e Totolink

Emerson Alecrim
Por
• Atualizado há 2 anos

Roteador D-Link DSL-2640B

Se você tem um roteador D-Link, atenção: a empresa de segurança Ixia reportou ataques que modificam as configurações de DNS de alguns equipamentos da marca para levar o usuário a sites falsos de serviços como Gmail, Netflix e Uber. Aparentemente, os ataques visam sobretudo usuários brasileiros: os sites dos principais bancos e serviços de hospedagem web do Brasil também são redirecionados.

Um servidor de DNS tem a função de indicar qual o endereço de um site, basicamente. O que as ataques fazem é mudar as configurações do roteador para um serviço de DNS fraudulento que, como tal, aponta para endereços falsos quando o usuário tenta acessar determinados sites. Milhares de roteadores já foram atingidos.

O analista de segurança Troy Mursch disse que o primeiro ataque ocorreu no fim de 2018 e afetou principalmente quatro modelos de modems / roteadores da D-Link:

  • D-Link DSL-2640B
  • D-Link DSL-2740R
  • D-Link DSL-2780B
  • D-Link DSL-526B

Em agosto de 2018, esses mesmos equipamentos foram alvos de um ataque que levava a uma página falsa do Banco do Brasil.

Também houve uma onda de ataques em fevereiro e outra na semana passada. Nessas ações, os equipamentos DSLink 260E e ARG-W4 ADSL foram afetados, o mesmo valendo para roteadores da Secutech e Totolink.

Os autores dos ataques têm usado principalmente a Google Cloud Platform para fazer varreduras em roteadores vulneráveis e enviar a eles códigos com modificações de DNS. De acordo com a Ixia, os endereços modificados são os seguintes:

  • Globais:
    • paypal.com
    • gmail.com
    • uber.com
    • netflix.com
  • Serviços de hospedagens brasileiros:
    • hostgator.com.br
    • kinghost.com.br
    • uolhost.uol.com.br
    • locaweb.com.br
  • Bancos e instituições financeiras brasileiras:
    • caixa.gov.br
    • itau.com.br
    • bb.com.br
    • sicredi.com.br
    • cetelem.com.br
    • bancobrasil.com.br
    • santander.com.br
    • pagseguro.uol.com.br
    • santandernet.com.br
    • bancointer.com.br
    • bradesconetempresa.b.br
    • superdigital.com.br

Alguns dos endereços de DNS fraudulentos já foram derrubados. Além disso, o Google remove aplicações maliciosas da sua plataforma nas nuvens quando recebe denúncias. O problema é que os invasores podem simplesmente lançar novos ataques com outros servidores, por isso, a prevenção continua sendo mandatória.

É importante atualizar o firmware do seu roteador — todos os quatro roteadores D-Link têm updates disponíveis — ou mesmo trocar modelos antigos por atuais. Verificar periodicamente os endereços de DNS e outras configurações do equipamento também é uma boa medida.

Com informações: Ars Technica.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados