Um sofisticado sistema de sequestro de DNS para roubo de dados, o GhostDNS, já atingiu mais de 100 mil roteadores, sendo que 87% deles estão no Brasil. Segundo a Netlab - empresa especializada em segurança da informação - o malware foi detectado em mais de 70 modelos.

Como explica o 'TechTudo', o ataque tem o objetivo de descobrir credenciais de sites como os de bancos e grandes provedores. O estudo da Netlab at 360, que descobriu o golpe, revelou que URLs brasileiras da Netflix, Santander e Citibank foram algumas das vítimas do GhostDNS.

Como funciona

O golpe, conhecido como DNSchange, tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, entre outros; ou explorando o dnscfg.cgi, sem passar pela autenticação.

Após acessar as configurações do roteador, o malware altera o endereço DNS padrão para IPs de sites mal-intencionados.

Riscos

Com o sequestro do DNS, mesmo se o usuário digitar a URL correta do banco no navegador, pode ocorrer o direcionamento para o IP de um site malicioso. Assim, senhas de banco, serviços de armazenamento na nuvem e outras credenciais podem ser capturadas por hackers.

Roteadores afetados

O Netlab at 360 encontrou pouco mais de 100 mil endereços IP de roteadores infectados de 21 a 27 de setembro. Do total, 87,8% (cerca de 87.800) estão no Brasil. No entanto, devido a variações dos endereços, o número pode ser diferente.

Os roteadores afetados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os modelos identificados foram:

3COM OCR-812

AP-ROUTER

D-LINK

D-LINK DSL-2640T

D-LINK DSL-2740R

D-LINK DSL-500

D-LINK DSL-500G/DSL-502G

Huawei SmartAX MT880a

Intelbras WRN240-1

Kaiomy Router

MikroTiK Routers

OIWTECH OIW-2415CPE

Ralink Routers

SpeedStream

SpeedTouch

Tenda

TP-LINK TD-W8901G/TD-W8961ND/TD-8816

TP-LINK TD-W8960N

TP-LINK TL-WR740N

TRIZ TZ5500E/VIKING

VIKING/DSLINK 200 U/E

Roteadores afetados pelo Js DNSChanger:

A-Link WL54AP3 / WL54AP2

D-Link DIR-905L

Roteador GWR-120

Secutech RiS Firmware

SMARTGATE

TP-Link TL-WR841N / TL-WR841ND

Roteadores afetados pelo PyPhp DNSChanger:

AirRouter AirOS

Antena PQWS2401

C3-TECH Router

Cisco Router

D-Link DIR-600

D-Link DIR-610

D-Link DIR-615

D-Link DIR-905L

D-Link ShareCenter

Elsys CPE-2n

Fiberhome

Fiberhome AN5506-02-B

Fiberlink 101

GPON ONU

Greatek

GWR 120

Huawei

Intelbras WRN 150

Intelbras WRN 240

Intelbras WRN 300

LINKONE

MikroTik

Multilaser

OIWTECH

PFTP-WR300

QBR-1041 WU

Roteador PNRT150M

Roteador Wireless N 300Mbps

Roteador WRN150

Roteador WRN342

Sapido RB-1830

TECHNIC LAN WAR-54GS

Tenda Wireless-N Broadband Router

Thomson

TP-Link Archer C7

TP-Link TL-WR1043ND

TP-Link TL-WR720N

TP-Link TL-WR740N

TP-Link TL-WR749N

TP-Link TL-WR840N

TP-Link TL-WR841N

TP-Link TL-WR845N

TP-Link TL-WR849N

TP-Link TL-WR941ND

Wive-NG routers firmware

ZXHN H208N

Zyxel VMG3312

Como se proteger

Para se proteger, o usuário deve mudar a senha do roteador, atualizar o firmware e verificar nas configurações se o DNS foi alterado.