Pressione enter para ver os resultados ou esc para cancelar.

GhostDNS: o malware que pode invadir seu roteador e roubar sua senha do banco

Pesquisadores de cibersegurança descobriram uma nova campanha de malware, direcionada para o Brasil, que já invadiu mais de 100.000 roteadores. Ele altera configurações de DNS dos roteadores para enganar os usuários com sites falsos, especialmente relacionados a bancos, e roubar suas senhas.

Denominado GhostDNS, o malware é similar ao DNSChanger, e funciona alterando as configurações DNS em roteadores vulneráveis. Com isso, parte do tráfego da rede é desviado para servidores dos atacantes de forma a falsificar os sites de bancos, entre outros, e roubar as senhas dos usuários.

O GhostDNS varre a rede buscando roteadores vulneráveis, com senhas fracas ou até mesmo sem senha. O malware invade esses roteadores vulneráveis e altera a configuração referente a quais servidores DNS o roteador e os usuários da rede local devem utilizar. Controlando isso, o malware consegue redirecionar parte do tráfego para sites maliciosos que visam roubar senhas e outros dados pessoais dos usuários. Roteadores infectados com esse malware poderão redirecionar o tráfego de sites como Bradesco, Banco do Brasil, Caixa, Itaú, Santander, Citibank, Sicredi e Netflix.

Pelo levantamento realizado, o GhostDNS já invadiu mais de 100.000 roteadores, sendo 87,8% deles no Brasil. Algumas marcas/modelos de roteadores infectados localizados na pesquisa:

  • 3COM OCR-812
  • AirRouter AirOS
  • Antena PQWS2401
  • AP-ROUTER
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link DSL-2640T
  • D-Link DSL-2740R
  • D-Link DSL-500
  • D-Link DSL-500G/DSL-502G
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101 GPON ONU
  • Greatek GWR-120
  • Huawei
  • Huawei SmartAX MT880a
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • Intelbras WRN240-1
  • Kaiomy Router
  • LINKONE
  • MikroTiK Routers
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Ralink Routers
  • Sapido RB-1830
  • SpeedStream
  • SpeedTouch
  • TECHNIC LAN WAR-54GS
  • Tenda
  • Thomson
  • TP-Link Archer C7
  • TP-Link TD-W8901G/TD-W8961ND/TD-8816
  • TP-Link TD-W8960N
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR841ND
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • TRIZ TZ5500E/VIKING
  • DSLINK 200 U/E
  • Wive-NG routers firmware
  • ZTE ZXHN H208N
  • Zyxel VMG3312

Como descobrir se meu roteador foi invadido?

O principal sintoma que indica que seu roteador foi invadido pelo GhostDNS ou DNSChanger é que ele irá fazer seu computador utilizar um servidor DNS estranho. É possível fazer um teste simples, que detecta a maior parte dos casos.

  1. Primeiramente descubra quais servidores DNS estão em uso pelo seu computador.
  2. Se os servidores DNS especificados em seu computador não coincidirem com algum dos seguintes padrões, recomendamos uma análise mais detalhada.
  • 192.168.x.x
  • 10.x.x.x
  • 8.8.8.8
  • 8.8.4.4
  • 1.1.1.1
  • 1.0.0.1
  • 9.9.9.9
  • 149.112.112.112
  • 208.67.222.222
  • 208.67.220.220
  • 4.2.2.1
  • 4.2.2.2

Como evitar problemas com o GhostDNS?

É possível evitar que o GhostDNS invada seu roteador utilizando uma senha forte na interface de gerenciamento do roteador. Além disso, manter o roteador com firmware atualizado, de acordo com as últimas versões oficiais de firmware lançadas pelo fabricante, também é uma medida importante para evitar problemas de segurança.

Outra solução muito eficaz é utilizar um sistema de controle de acesso à internet com Firewall de DNS, como é o caso do Lumiun. Em redes que utilizam o Lumiun, a probabilidade de contaminação dos equipamentos e invasão do roteador é reduzida, e, além disso, mesmo que o roteador tenha sido invadido e o DNS reconfigurado, o Lumiun irá proteger a rede e não irá permitir que esse tipo de invasão redirecione o tráfego dos usuários com base na alteração de DNS imposta pelo malware no roteador afetado. Com isso, empresas que utilizam o Lumiun estão sempre seguras contra todas campanhas de malware que visam desviar o tráfego por meio de invasão do roteador e modificação do DNS.

Referências

Baboo – Malware GhostDNS alterou o DNS de mais de 100.000 roteadores

The Hacker News – GhostDNS: New DNS Changer Botnet Hijacked Over 100,000 Routers [Conteúdo em Inglês]

Netlab 360 – 70+ different types of home routers(all together 100,000+) are being hijacked by GhostDNS [Conteúdo em Inglês]