Malware VPNFilter infecta mais roteadores do que se pensava
Praga é capaz ainda de interceptar e manipular dados dos equipamentos da rede
Praga é capaz ainda de interceptar e manipular dados dos equipamentos da rede
Duas semanas atrás, pesquisadores da Cisco em parceria com a Symantec alertaram sobre o VPNFilter, malware que infectou 500 mil roteadores em pelo menos 54 países. Acreditava-se que o principal objetivo da praga era criar botnets para ataques coordenados ou capturar dados específicos, como senhas. Agora, os especialistas voltam à cena para reportar que o VPNFilter pode atingir ainda mais equipamentos e realizar mais ações do que se pensava.
Em comunicado recente, a Talos, divisão de inteligência de segurança da Cisco, afirma que as primeiras análises indicavam que o VPNFilter estava orientado a realizar ações ofensivas, como derrubar ou invadir um servidor específico. Mas, agora, sabe-se que o malware também pode interceptar tráfego para, por exemplo, injetar código malicioso nas páginas exibidas no navegador.
Conforme explicado anteriormente, o malware age em três etapas. Na primeira, ele é instalado no roteador e fica ativo até o equipamento ser reiniciado. Na segunda, o malware é capaz de coletar dados e executar comandos. Na terceira, o VPNFilter acessa módulos que auxiliam as ações da segunda fase. Os pesquisadores agora sabem que, na última etapa, a praga pode interceptar dados dos dispositivos que estão na mesma rede do equipamento infectado.
É um ataque do tipo man-in-the-middle: o tráfego interceptado recebe código malicioso que pode ser usado, por exemplo, para modificar o conteúdo de uma página sem que o usuário perceba. Note que o site não é afetado no servidor; a página carregada no navegador é que é modificada.
O malware consegue até analisar a URL para encontrar sinais de que informações sensíveis estão sendo trafegadas, como senhas e identidade do usuário. Na interceptação, o VPNFilter pode ainda tentar rebaixar uma conexão de HTTPS para HTTP e, assim, capturar dados em texto plano.
Outro detalhe preocupante é o fato de o malware estar sendo usado para ações cuidadosamente selecionadas — como esvaziar a conta bancária de uma única pessoa — e não para interceptar a maior quantidade de dados possível, o que poderia facilitar o rastreamento e a mitigação da praga.
Os pesquisadores da Talos explicam que a lista de equipamentos vulneráveis aumentou consideravelmente. Entre eles estão roteadores e outros equipamentos de rede de marcas como Asus, D-Link e Huawei:
Asus:
D-Link:
Huawei:
Linksys:
Mikrotik:
Netgear:
QNAP:
TP-Link:
Ubiquiti:
Upvel:
ZTE:
Não há maneira fácil de saber se um dispositivo está infectado, mas cuidados básicos ajudam na prevenção, como trocar a senha padrão do roteador e instalar a versão mais recente do firmware disponibilizado para o equipamento.
Com informações: Ars Technica.