Roteadores da D-Link e TP-Link continuam sendo invadidos no Brasil

Ataques mudam servidores de DNS nos roteadores e direcionam usuário para golpes de phishing e mineração de criptomoeda

há 4 anos e 9 meses • Atualizado há 2 anos e 4 meses

Faz quase um ano que o GhostDNS foi descoberto, mas ele continua fazendo vítimas no Brasil. O exploit modifica remotamente as configurações dos roteadores Wi-Fi para cadastrar servidores de DNS maliciosos, redirecionando os usuários para sites falsos. De acordo com a Avast, mais de 4,6 milhões de ataques do gênero foram detectados no país só entre fevereiro e março de 2019.

Os ataques ocorrem pelo método CSRF (falsificação de solicitação entre sites). A empresa explica que os códigos maliciosos são encontrados em anúncios de determinados sites brasileiros, principalmente os que hospedam filmes, fazem transmissões ao vivo de jogos ou têm conteúdo adulto. Esses scripts fazem requisições automáticas à página de administração do roteador sem que o usuário perceba.

Quando o ataque é feito com sucesso, os servidores de DNS do roteador são alterados para IPs maliciosos. Assim, ao tentar visitar itau.com.br, banco.bradesco ou bb.com.br, por exemplo, o usuário é direcionado a um site falso que o induz a digitar suas informações de acesso ao internet banking — e esses dados vão parar diretamente nas mãos do criminoso.

Segundo a Avast, os bancos são os principais alvos do exploit: o Santander é o mais afetado, respondendo por 24% das falsificações, seguido pelo Bradesco (19%), Banco do Brasil (13%) e Itaú (13%). Mas há uma novidade entre os sites falsos: a Netflix (11%), o que ajuda a explicar por que centenas de contas roubadas de serviços de streaming estão sendo vendidas na dark web.

No caso do Santander, o usuário digita o endereço correto do banco no navegador e cai em uma página que se parece com a original, mas está ali para roubar dados de acesso. Quem for mais atento perceberá que o cadeado de segurança (que não quer dizer site seguro) não é exibido na barra de endereços, mas o golpe de phishing é bastante convincente.

Site verdadeiro do Santander

Site falso do Santander

Outra forma de os criminosos lucrarem é por meio de anúncios falsos. Os servidores de DNS modificados interferem em domínios do Google AdSense, Taboola, Outbrain e PopCash para substituir as propagandas originais por banners de extensões maliciosas, por exemplo. Como essas redes de anúncios estão em milhões de sites na internet, trata-se de uma forma mais rápida de atacar usuários com roteadores infectados.

No primeiro semestre de 2019, pelo menos 180 mil roteadores no Brasil estavam com servidores de DNS infectados. Esse número só considera a base de usuários do Avast Antivírus, então certamente é bem maior na prática.

Roteadores D-Link, Motorola, TP-Link, GVT e Vivo são atacados

Os roteadores mais afetados são modelos populares nas residências brasileiras:

TP-Link TL-WR340G
TP-Link WR1043ND
D-Link DSL-2740R
D-Link DIR-905L
A-Link WL54AP3 e WL54AP2
Medialink MWN-WAPR300
Motorola (Arris) SBG6580
Realtron
Gothan GWR-120
Secutech RiS-11/RiS-22/RiS-33

E, pelas combinações de usuário e senha utilizadas com sucesso pelos exploits, fica claro que os provedores têm uma boa dose de culpa pelos ataques, especialmente a Vivo e a antiga GVT:

admin:admin
admin:
admin:12345
Admin:123456
admin:gvt12345
admin:password
admin:vivo12345
root:root
super:super

Para se proteger, é recomendável consultar o fabricante do roteador para verificar se há atualizações de firmware e, principalmente, alterar a senha padrão de administração.