GhostDNS: malware que muda DNS de roteadores mira bancos e Netflix

Ataque mais recente do GhostDNS leva a sites falsos do Bradesco, Netflix e outros

Emerson Alecrim
Por
• Atualizado há 2 anos e 10 meses
Roteador Wi-Fi (imagem: Pixabay)

Descoberto há mais de um ano, o GhostDNS continua fazendo vítimas pelo Brasil. O malware modifica as configurações de DNS de roteadores vulneráveis para direcionar o usuário a sites falsos quando ele tenta acessar páginas de bancos como Bradesco e Santander, e de serviços como PagSeguro e Netflix.

O modo de propagação não mudou de um ano para cá. De acordo com a Avast, a praga infecta roteadores quando o usuário acessa sites que exibem publicidade maliciosa distribuída por redes de anúncios.

Nessa circunstância, o usuário é direcionado a um página que contém o GhostDNS Exploit Kit, conjunto de ferramentas que permite que o roteador seja infectado. Toda a ação é executada em segundo plano, sem que o usuário perceba.

Se o ataque funcionar, o roteador terá suas configurações de DNS modificadas para direcionar o usuário a sites falsos de bancos e outros serviços, como já dito. Ainda segundo a Avast, estes foram os endereços mais visados durante o mês de novembro (mas não os únicos):

  • bradesco.com.br
  • santandernetibe.com.br
  • pagseguro.com.br
  • terra.com.br
  • uol.com.br
  • netflix.com

O site falso do Bradesco chamou bastante atenção: ele é muito parecido com a página verdadeira do banco. No entanto, a Avast aponta alguns sinais de alerta, como o fato de vários links não funcionarem e de o navegador indicar que o site não é seguro (não tem HTTPS).

Se o usuário não perceber a cilada, irá digitar as suas informações de login na página e, em seguida, verá um aviso dizendo que o sistema está temporariamente indisponível. Na verdade, ele simplesmente terá fornecido seus dados de acesso à sua conta bancária a criminosos.

Página falsa do Bradesco

Página falsa do Bradesco

De modo geral, o objetivo dos sites falsos é justamente capturar credenciais. Isso ajuda a explicar, por exemplo, o fato de contas da Netflix serem vendidas na dark web ou em grupos obscuros de WhatsApp.

O pico mais recente de ação do GhostDNS parece ter ocorrido em 25 de novembro. A Avast afirma ter bloqueado, na data, cerca de 5.500 tentativas de ataque vindas de dois sites maliciosos. Todos os endereços modificados apontavam para um servidor na Digital Ocean que, uma semana depois, ainda estava ativo.

Como se proteger do GhostDNS

A dica mais importante é instalar a versão atual do firmware do seu roteador, independentemente da marca. Se o equipamento for antigo, é uma boa ideia trocá-lo por um modelo mais recente. Quando possível, mudar o login e a senha padrão de acesso ao roteador também é recomendável.

Verificar periodicamente se as configurações de DNS do roteador estão certas é outra boa medida de segurança.

Observe ainda o site que você está acessando. Se notar qualquer coisa errada, não faça login. Em complemento, ative a autenticação em dois fatores sempre que esse recurso estiver disponível.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Temas populares