GhostDNS: o malware que pode invadir seu roteador e roubar sua senha do banco

Pesquisadores de cibersegurança descobriram uma nova campanha de malware, direcionada para o Brasil, que já invadiu mais de 100.000 roteadores. Ele altera configurações de DNS dos roteadores para enganar os usuários com sites falsos, especialmente relacionados a bancos, e roubar suas senhas.

Denominado GhostDNS, o malware é similar ao DNSChanger, e funciona alterando as configurações DNS em roteadores vulneráveis. Com isso, parte do tráfego da rede é desviado para servidores dos atacantes de forma a falsificar os sites de bancos, entre outros, e roubar as senhas dos usuários.

O GhostDNS varre a rede buscando roteadores vulneráveis, com senhas fracas ou até mesmo sem senha. O malware invade esses roteadores vulneráveis e altera a configuração referente a quais servidores DNS o roteador e os usuários da rede local devem utilizar. Controlando isso, o malware consegue redirecionar parte do tráfego para sites maliciosos que visam roubar senhas e outros dados pessoais dos usuários. Roteadores infectados com esse malware poderão redirecionar o tráfego de sites como Bradesco, Banco do Brasil, Caixa, Itaú, Santander, Citibank, Sicredi e Netflix.

Pelo levantamento realizado, o GhostDNS já invadiu mais de 100.000 roteadores, sendo 87,8% deles no Brasil. Algumas marcas/modelos de roteadores infectados localizados na pesquisa:

  • 3COM OCR-812
  • AirRouter AirOS
  • Antena PQWS2401
  • AP-ROUTER
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link DSL-2640T
  • D-Link DSL-2740R
  • D-Link DSL-500
  • D-Link DSL-500G/DSL-502G
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101 GPON ONU
  • Greatek GWR-120
  • Huawei
  • Huawei SmartAX MT880a
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • Intelbras WRN240-1
  • Kaiomy Router
  • LINKONE
  • MikroTiK Routers
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Ralink Routers
  • Sapido RB-1830
  • SpeedStream
  • SpeedTouch
  • TECHNIC LAN WAR-54GS
  • Tenda
  • Thomson
  • TP-Link Archer C7
  • TP-Link TD-W8901G/TD-W8961ND/TD-8816
  • TP-Link TD-W8960N
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR841ND
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • TRIZ TZ5500E/VIKING
  • DSLINK 200 U/E
  • Wive-NG routers firmware
  • ZTE ZXHN H208N
  • Zyxel VMG3312

Como descobrir se meu roteador foi invadido?

O principal sintoma que indica que seu roteador foi invadido pelo GhostDNS ou DNSChanger é que ele irá fazer seu computador utilizar um servidor DNS estranho. É possível fazer um teste simples, que detecta a maior parte dos casos.

  1. Primeiramente descubra quais servidores DNS estão em uso pelo seu computador.
  2. Se os servidores DNS especificados em seu computador não coincidirem com algum dos seguintes padrões, recomendamos uma análise mais detalhada.
  • 192.168.x.x
  • 10.x.x.x
  • 8.8.8.8
  • 8.8.4.4
  • 1.1.1.1
  • 1.0.0.1
  • 9.9.9.9
  • 149.112.112.112
  • 208.67.222.222
  • 208.67.220.220
  • 4.2.2.1
  • 4.2.2.2

Como evitar problemas com o GhostDNS?

É possível evitar que o GhostDNS invada seu roteador utilizando uma senha forte na interface de gerenciamento do roteador. Além disso, manter o roteador com firmware atualizado, de acordo com as últimas versões oficiais de firmware lançadas pelo fabricante, também é uma medida importante para evitar problemas de segurança.

Outra solução muito eficaz é utilizar um sistema de controle de acesso à internet com Firewall de DNS, como é o caso do Lumiun. Em redes que utilizam o Lumiun, a probabilidade de contaminação dos equipamentos e invasão do roteador é reduzida, e, além disso, mesmo que o roteador tenha sido invadido e o DNS reconfigurado, o Lumiun irá proteger a rede e não irá permitir que esse tipo de invasão redirecione o tráfego dos usuários com base na alteração de DNS imposta pelo malware no roteador afetado. Com isso, empresas que utilizam o Lumiun estão sempre seguras contra todas campanhas de malware que visam desviar o tráfego por meio de invasão do roteador e modificação do DNS.

Referências

Baboo – Malware GhostDNS alterou o DNS de mais de 100.000 roteadores

The Hacker News – GhostDNS: New DNS Changer Botnet Hijacked Over 100,000 Routers [Conteúdo em Inglês]

Netlab 360 – 70+ different types of home routers(all together 100,000+) are being hijacked by GhostDNS [Conteúdo em Inglês]

 

Como saber quais servidores DNS o computador está utilizando

Como vejo quais servidores DNS meu computador está utilizando? Passo a passo para consultar os servidores DNS configurados no seu computador, usando sistema operacional Windows. Pressione a tecla Windows (localizada ao lado da tecla Alt) e simultaneamente pressione R. Isso fará abrir uma caixa denominada Executar. Na caixa Executar, digite “cmd” e clique em OK….

Continuar lendo

Como vejo se meu computador usa IP automático (DHCP)?

O que é IP automático (DHCP)? Passo a passo para verificar se o seu computador está usando IP automático, no sistema operacional Windows Pressione a tecla Windows (localizada ao lado da tecla Alt) e simultaneamente pressione a tecla R. Isso fará abrir uma caixa denominada Executar. Na caixa Executar, digite “cmd” e clique em OK. Na…

Continuar lendo

O que é IP automático (DHCP)?

Em uma rede que oferece IP automático (DHCP), parâmetros como endereço IP, máscara, gateway e servidores DNS são fornecidos automaticamente para cada dispositivo conectado à rede. Dessa forma não é necessário configurar manualmente esses parâmetros nos computadores e demais equipamentos. Na maioria das redes a situação ideal é que ela forneça IP automático, como forma de…

Continuar lendo

Como elaborar senhas seguras?

Algumas dicas sobre senhas. Suas senhas são de sua responsabilidade, em hipótese alguma as forneça para outra pessoa. Altere suas senhas periodicamente e sempre que julgar necessário. Não use a mesma senha para acesso a vários sistemas ou sites diferentes. Ao terminar o uso de um sistema ou site, feche sua sessão através da opção…

Continuar lendo

O que são os Registros DNS Locais?

No Lumiun, o recurso de Registros DNS Locais permite que sejam configurados registros DNS que serão “visíveis” somente a partir da rede local da empresa. Esses registros irão prevalecer sobre outros possíveis registros de mesmo nome existentes na internet. Esse recurso está acessível no painel de controle do Lumiun, no menu Administrar > Registros DNS…

Continuar lendo

Guia de Instalação do Lumiun Box

Esse tutorial explica como realizar a instalação básica do Lumiun Box, o equipamento utilizado pelo Lumiun nos planos Profissional, Corporativo e Enterprise. 1. Cadastre seu Lumiun Box Entre no painel de controle do Lumiun, em http://painel.lumiun.com. Será solicitado um número de série. Obtenha esse código na etiqueta localizada na parte de baixo do seu Lumiun Box. 2….

Continuar lendo

Como identificar o endereço IP do computador

Como vejo o endereço IP do meu computador? Passo a passo para consultar o endereço IP versão 4 (IPv4) em uso no seu computador, usando sistema operacional Windows. Pressione a tecla Windows (localizada ao lado da tecla Alt) e simultaneamente pressione R. Isso fará abrir uma caixa denominada Executar. Na caixa Executar, digite “cmd” e…

Continuar lendo

A Lumiun é uma das 117 startups que estão mudando a TI no Brasil

O estudo Liga Insights IT Startups, realizado pela Liga Ventures com apoio do Ibmec e Astella Investimentos, posicionou a Lumiun como uma das 117 startups que estão mudando a TI no Brasil. O relatório mostra um panorama das startups brasileiras que estão desenvolvendo soluções inovadoras para a área de TI. Foram analisadas 10.085 startups e a Lumiun ficou entre as 14 selecionadas na categoria Segurança, Fraude e Validações.

A Lumiun protege seus clientes das ameaças da internet e permite que aumentem a produtividade, com menos desperdício e reduzindo riscos. Através de uma solução baseada em nuvem para gestão do acesso à internet nas empresas, possibilita a implementação eficiente de políticas que visam ampliar a segurança da informação e a produtividade da equipe.

As novas tecnologias estão transformando cada vez mais indústrias e setores, em meio a uma revolução digital. O desenvolvimento acelerado das corporações norteia a maneira como a sociedade e as organizações irão acompanhá-las. Por isso é importante entender como serão os desdobramentos das inovações tecnológicas no futuro das corporações. Consequentemente, também é importante compreender de que forma está ocorrendo a inovação na área de Tecnologia da Informação (TI), tendo em vista a relevância dessa área na estruturação de inovações em conjunto com outras áreas e departamentos das organizações.

Conforme levantamento da Brasscom, a previsão é de que os investimentos na área de Segurança da Informação, para o período de 2018 a 2021, tenham crescimento de 12% ao ano, chegando a R$ 22,8 bilhões. O setor de Tecnologia da Informação e Comunicações (TIC) respondeu por 7,1% do PIB em 2017.

O estudo publicado pela Liga Ventures também menciona dados de outros importantes relatórios da área de TIC:

  • No levantamento das previsões da IDC Brasil para 2018, 63% das empresas entrevistadas afirmaram que ampliaram o orçamento destinado a segurança. Pela previsão, os investimentos em segurança devem crescer no Brasil cerca de 9% em 2018.
  • Análise da consultoria Gartner estima que investimentos em cybersecurity, em âmbito global, possam chegar a US$ 96 bilhões em 2018, 8% a mais que o ano anterior. Desse valor, US$ 17 bilhões destinados a proteção de infraestrutura e US$ 57 bilhões destinados a serviços de segurança.
  • Estudo mundial da Cisco (Cisco 2018 Annual Cybersecurity Report) apontou que 53% dos ataques resultaram em perdas financeiras com valores superiores a US$ 500 mil, referentes à perda de clientes, de receita e oportunidades.

Além de Segurança, Fraude e Validações, o estudo Liga Insights IT Startups incluiu também startups que apresentam algum tipo de atividade, serviço e/ou produto relacionados às seguintes categorias: Blockchain e APIs; Busca e Seleção de Profissionais; Cloud Manager e Otimização; Colaboração e Produtividade; Data Science e Enriquecimento de Dados; Formação; Gestão de Projetos, Tarefas e Tempo; RPA e Workflow; Service-Desk e Help-Desk; Soluções de Bots; Soluções para Desenvolvimento; e Soluções para UX e UI.

O relatório pode ser acessado em https://insights.liga.ventures/itstartups

 

Liga Insights IT Startups - Landscape 117 Startups
117 startups que estão mudando a TI no Brasil

 

A Lumiun Tecnologia é uma solução de segurança e gestão do uso da internet focada em empresas de pequeno e médio porte, tendo como grande diferencial a facilidade na implementação e gerenciamento, sem necessidade de profissionais especializados para manutenção e operação do sistema.

Para saber como tornar o uso da internet mais seguro e produtivo na sua empresa, acesse www.lumiun.com.