Ataques a roteadores no Brasil tem como alvo clientes do Bradesco, Netflix, entre outros

Ataques a roteadores no Brasil tem como alvo clientes do Bradesco, Netflix, entre outros

A Avast divulgou que bloqueou mais de 7.000 tentativas de ataques de falsificação de solicitações entre sites (conhecidos como ataques CSRF – Cross-Site Request Forgery) no Brasil, em novembro. Os cibercriminosos utilizam este método para executar comandos sem o conhecimento dos usuários e, nesse caso, modificar silenciosamente suas configurações de DNS (nome de domínio do sistema) no roteador para realizar ataques. Os kits de exploração de roteadores são populares no Brasil e, no mês passado, a Avast descobriu duas páginas que hospedavam o “Novidade”, uma versão do kit de exploração GhostDNS.

Sequestro de DNS redirecionando para ataques de phishing

Geralmente, um ataque de CSRF ao roteador é iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), que é veiculada usando redes de anúncios de terceiros no site. Nesse caso, os usuários foram redirecionados automaticamente para uma das duas páginas de destino do kit de exploração do roteador, iniciando o ataque ao roteador sem a interação do usuário, fazendo tudo em segundo plano. As páginas de destino que hospedavam a variante GhostDNS são hxxp[:]//novonovonovo.users.scale.virtualcloud.com[.]br e hxxp[:]//avast.users.scale.virtualcloud.com[.]br.

As páginas de destino continham um link Bitly, que revela que as páginas foram visitadas cerca de 222.000 vezes na segunda quinzena de novembro.

“Não sabemos ao certo a razão dos criminosos utilizarem ‘avast’ no segundo URL, mas suspeitamos que isso tenha ocorrido porque bloqueamos a primeira página de destino”, diz Simona Musilová, Analista de Ameaças da Avast. “Enquanto nosso Web Shield incluído nas versões gratuitas e premium do Avast Antivirus, bloqueia tentativas de ataques contra os nossos usuários, não há como sabermos se as mais de 200.000 pessoas redirecionadas para as páginas de destino foram protegidas ou não”.

Os kits de exploração podem atacar com êxito um roteador. Muitos roteadores estão protegidos com credenciais fracas, pois geralmente são credenciais padrão entregues junto com o roteador e cujas informações podem ser facilmente encontradas online. De acordo com uma *pesquisa da Avast 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores, para alterar as credenciais de login de fábrica.

Nesse ataque, o roteador pode ser reconfigurado para usar servidores DNS não autorizados, que redirecionam as vítimas para páginas de phishing que se parecem muito com sites reais.

Os seguintes domínios podem ser afetados através do sequestro de DNS:

  • bradesco.com.br

  • santandernetibe.com.br

  • pagseguro.com.br

  • terra.com.br

  • uol.com.br

  • netflix.com

 

“Esta não é a primeira vez que vimos esses sites como alvos de ataques de CSRF. Eles são escolhidos por serem populares e, em geral, exigem que os usuários façam login ou insiram informações de pagamentos. Depois que os usuários fazem isso, suas credenciais de login e informações de pagamentos vão diretamente para os cibercriminosos, dando a eles o acesso à Netflix e às contas bancárias, por exemplo. Além de alertar seus clientes, o problema é que poucos desses serviços evitam que os usuários sejam vítimas, pois os sites de phishing estão fora de seus domínios”, disse Simona Musilová, Analista de Ameaças da Avast.

No caso do Bradesco, as vítimas inseriram o URL do site em sua barra de endereços e foram redirecionadas para uma versão de phishing do site do banco, onde poderiam “fazer o login” de suas contas e inclusive pedindo seu código de autenticação de dois fatores. Assim que o usuário acessava sua “conta falsa”, o site malicioso exibia uma mensagem de erro ou simplesmente agia como se estivesse carregando. Quando os usuários faziam o logoff na versão de phishing, eles eram direcionados para o site real do banco, onde poderiam realmente fazer o login da sua conta.

A página de phishing da Netflix, por outro lado, exige que a vítima entre com seu endereço de e-mail e, então, solicita as informações de cartão de crédito pedindo até mesmo que o usuário faça o upload do escaneamento do seu cartão de crédito.

Permaneça protegido

Simona Musilová continua: “Os usuários devem ter cuidado ao visitar o site do seu banco ou da sua conta na Netflix, verificando se a página possui um certificado válido, um cadeado na barra URL do navegador. Além disso, os usuários devem atualizar frequentemente o firmware do roteador para a versão mais recente e configurar as credenciais de login do roteador com uma senha forte. O usuário que acredita que o seu roteador está infectado, deve fazer o login na interface administrativa web do roteador e alterar as credenciais de login. Também deve estar sempre atento com a sua conta bancária”.

As pessoas podem descobrir se o roteador está infectado usando o recurso Avast Wi-Fi Inspector, que faz parte tanto da versão gratuita quanto de todas as versões pagas do antivírus da Avast, as quais incluem ainda o Avast Web Shield – um escudo central que protege os usuários contra ataques CSRF.

Mais informações sobre esta campanha de CSRF podem ser encontradas no Blog Avast Decoded.

* Pesquisa online realizada com mais de 1.500 usuários da Avast, em junho de 2018.

Sobre o Autor

Editor-chefe no Hardware.com.br, aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Leia mais
Redes Sociais:

Deixe seu comentário

X