Geral 2min de Leitura - 01 de junho de 2020

Mais um malware de olho nos brasileiros

Numeros 0 e 1 lado a lado, repetids várias vezes, representando o código binário

This post is also available in: Português

GhostDNS mira clientes de 11 bancos no Brasil, escaneando milhares de endereços IP em busca de roteadores vulneráveis.

Quem tem conta nos maiores bancos do Brasil precisa redobrar a atenção com uma nova ameaça. É o GhostDNS, um malware usado para infectar roteadores e fazer ataques de CSRF (falsificação de solicitação entre sites) para alterar as configurações de DNS dos roteadores.

Assim, os usuários são direcionados para sites de phishing, e lá seus dados de login e informações de cartões de crédito são capturados através de cópias idênticas aos sites originais dos bancos.

Foram os especialistas da empresa Avast que conseguiram o código-fonte do kit de exploração do GhostDNS para análise e descobriram que ele foca diretamente em clientes de 11 bancos – e também em transações de comércio eletrônico e turismo.

As pesquisas mostraram que o malware foi projetado para escanear dezenas de milhares de endereços de IP dos EUA e México também, procurando portas abertas que permitam invadir os dispositivos. E mais: os invasores também podem alterar as credenciais de login do roteador infectado para aquelas pré-definidas pelo fabricante. Assim, o caminho fica ainda mais fácil.

Como ele atua

O GhostDNS tem como primeiro passo a busca por endereços IP abertos, e em seguida executa um script na tentativa de obter acesso aos roteadores – usando credenciais de login padrão ou credenciais utilizadas com frequência.

Depois que o kit de exploração obtém o acesso a um roteador via CSRF, ele usa um método de sequestro de DNS para redirecionar os usuários para sites de phishing projetados para parecerem idênticos aos sites autênticos. Assim, todas as informações enviadas a esses sites fakes vão direto para os cibercriminosos, incluindo logins, senhas e dados de cartões de crédito.

Várias páginas de phishing imitavam alguns dos maiores bancos com atuação no Brasil, assim como Netflix, domínios de hospedagem, sites de notícias e de empresas de viagens. Veja abaixo a lista completa:

Bradesco
Itaú
Caixa Econômica
Santander
MercadoPago
CrediCard
Netflix
Flytour Viagens
Banco do Brasil
Cartão UNI
Sicoob
Banco Original
CitiBank
Locaweb
MisterMoneyBrazil
UOL
PayPal
LATAM Pass
Serasa Experian
Sicredi
SwitchFly
Umbler

Segundo a Avast, o GhostDNS é muito utilizado para atingir brasileiros que não alteraram o login e senha padrão do roteador – ou que usam credenciais fracas. “Com base em nossos dados, 76% das credenciais de login dos roteadores no Brasil têm senhas fracas, deixando-os mais vulneráveis a ataques de CSRF”, diz Simona Musilová, Analista de Ameaças da empresa. Ou seja, um percentual que mostra que o GhostDNS está longe de ser o último a ter como alvo principal o Brasil.

This post is also available in: Português