Um grupo de cibercriminosos há muito explora a vulnerabilidade em vários modelos de roteadores Dlink. O buraco encontrado permite alterar remotamente as configurações do servidor DNS do roteador para redirecionar o usuário do dispositivo para o recurso criado pelos próprios atacantes. O que depende ainda mais da escolha dos próprios cibercriminosos - eles podem roubar as contas das vítimas ou oferecer serviços que parecem um serviço completamente “branco” do banco.
A vulnerabilidade é relevante para modelos como DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B e DSL-526B. Eles raramente são atualizados por ninguém, portanto, os invasores podem usar as vulnerabilidades de firmware desatualizado sem problemas. Os detalhes podem ser lidos em detalhes
aqui e
aqui .
Os primeiros a
saber sobre o problema foram representantes da Radware, uma empresa de segurança cibernética. Como se viu, tudo isso foi concebido por criminosos cibernéticos para obter acesso às contas de clientes de dois dos maiores bancos brasileiros - Banco de Brasil e Unibanco. Em vez de servidores de rede bancária, os usuários foram levados para servidores controlados por hackers.
Ao mesmo tempo, os usuários não conseguiam entender o que estava acontecendo - eles não foram enganados por links de phishing e vários pop-ups. Só que, em vez do site do banco, o usuário acessou um site falso, o que não causou quase nenhuma preocupação. Naturalmente, a transição para o recurso de malware foi realizada mesmo que o usuário clicasse no link em "Favoritos" do navegador ou no atalho de URL localizado na área de trabalho.
Da mesma forma, a transição ocorreu se, em vez de um PC, o usuário trabalhasse com um tablet, telefone ou qualquer outro dispositivo executando qualquer sistema operacional. A principal condição para executar uma transição de malware é conectar-se a um roteador comprometido.
Os sites dos bancos brasileiros foram escolhidos porque o acesso a eles pode ser obtido via HTTP, sem proteção. Portanto, os visitantes não recebem nenhuma mensagem dizendo que o site para o qual são redirecionados é malicioso. Se o usuário tiver o HTTPS instalado por padrão, nesse caso a vítima em potencial receberá uma mensagem sobre o problema com o certificado. Mas, ao mesmo tempo, existe uma opção para "concordar" e, se o usuário seleciona, o que é feito pela maioria dos usuários, o redirecionamento funciona sem problemas. Além disso, o site malicioso "finge" ser completamente normal. Se o usuário estiver conectado ao site real do banco, seus dados serão redirecionados para o servidor do invasor. O site é controlado pelo mesmo IP do servidor DNS do invasor.
O site individual para o qual a transição é realizada é semelhante ao recurso real do banco; portanto, os usuários que não são muito avançados tecnicamente podem ser facilmente enganados. Tanto quanto você pode entender, o site dos invasores ainda não foi configurado, as semelhanças ainda são puramente externas, sem a funcionalidade do site bancário (fingir isso não é muito difícil).
Depois que a empresa que detectou o ataque relatou o problema, o recurso DNS malicioso e os sites falsos foram fechados pela empresa de hospedagem proprietária do servidor. É verdade que isso causa alguns inconvenientes aos proprietários de roteadores "modernizados". O fato é que, como o servidor DNS foi alterado para malware nas configurações de hardware, ele não pode mais dar acesso à rede sem configurações secundárias. Isso é simples, mas se o usuário não tiver experiência e entender o que está acontecendo, o problema pode se tornar sério.
No momento, este é um dos maiores ataques usando roteadores. Um ataque semelhante foi relatado em maio. Cerca de meio milhão de dispositivos de rede de diferentes fabricantes foram infectados. Depois que os representantes do FBI souberam do problema, eles avisaram o serviço VPNFilter, com o qual o software malicioso funcionava, e o problema também foi resolvido.
E antes, problemas desse tipo aconteciam. Portanto, em 2016, o malware, conhecido como
DNSChanger , fez com que as equipes maliciosas executassem comandos maliciosos. Em seguida, um servidor DNS malicioso também foi usado. E, exatamente como agora, foi realizada a transição para recursos maliciosos pertencentes aos atacantes.
A melhor proteção contra ataques desse tipo é, primeiro, atualizar o firmware do equipamento e, segundo, usar uma senha forte. Além disso, você pode alterar o DNS para verificado - por exemplo, 1.1.1.1 do Cloudflare ou 8.8.8.8 do Google.