Foto:Divulgação
Por Altieres Rohr
G 1
A fabricante de antivírus Trend Micro publicou um alerta de segurança detalhando um ataque que atingiu principalmente usuários brasileiros e que adultera o roteador de internet da vítima enquanto ela navega na internet.
A adulteração serve para abrir caminho para o roubo de senhas, inclusive no acesso a serviços bancários. Chamado de "Novidade" pelos especialistas da empresa, algumas das páginas envolvidas no ataque foram divulgadas em mensagens do WhatsApp.
Caso o ataque tenha sucesso, o código modifica a configuração de Domain Name System (DNS) do roteador. Essa configuração permite ao criminoso redirecionar o endereço IP no acesso a qualquer página da web.
Dessa maneira, um acesso ao Google ou ao site do banco pode levar a vítima para um site clonado que vai solicitar a instalação de programas maliciosos ou até apresentar uma página falsa para preencher dados que serão enviados diretamente aos golpistas.
É muito difícil de evitar contato com o código de ataque. Além de estar presente em sites maliciosos projetados pelos criminosos, ele também foi incluído em campanhas publicitárias.
Essa tática, conhecida como "malvertising", faz com que o peças publicitárias veiculadas em vários sites carreguem o código de ataque junto com a imagem ou texto publicitário.
Como o alvo do ataque é o roteador, todos os dispositivos conectados na mesma rede podem acabar caindo nas páginas clonadas após o redirecionamento. Por exemplo, se um site com o código foi acessado em um notebook, um celular conectado à mesma rede Wi-Fi também verá as páginas clonadas.
De acordo com o alerta, a palavra "Novidade" aparece em todos os códigos atuais envolvidos na ação e por isso foi escolhida para identificar o ataque.
O código estaria em sua versão 3, que é mais sofisticada que as anteriores por ser capaz de atingir mais modelos de roteadores.
As primeiras versões foram encontradas em agosto de 2017, mas os ataques ainda estão ocorrendo: algumas das mensagens fazem menção a temas da eleição.
Como funciona o ataque
O código de ataque do "Novidade" é um kit com 3 etapas. Ele é executado pelo navegador de internet (o Chrome, Edge, Firefox ou outro) quando uma página contendo o código é carregada.
Como o código foi incluído também em anúncios publicitários, diversos sites podem ter veiculado o código como parte de sua publicidade, sem saber disso. De acordo com a Trend Micro, um dos links acumulou 24 milhões de acessos desde março.
Diferente de outros ataques na web, o código não mira o computador ou celular da vítima. Em vez disso, na primeira etapa, ele tenta identificar o endereço IP do roteador de internet – o aparelho responsável por fornecer acesso Wi-Fi ou à internet.
Depois que o IP foi identificado, o código relaciona o endereço às marcas e modelos que costumam usar aquele IP. Na sequência, para a segunda etapa do ataque, são feitas diversas tentativas para explorar as falhas de segurança conhecidas nos aparelhos. Se esses ataques tiverem êxito, o código ganhará o controle total do roteador.
Na terceira etapa, o código tenta acessar o roteador usando combinações de usuário e senha padrão, que são configuradas por provedores de internet ou pelos fabricantes dos aparelhos.
Caso o celular esteja no 4G no momento do acesso à página ou o kit de ataque não tenha sucesso na exploração das falhas ou no uso das senhas padrão, nenhuma modificação será feita e o ataque terá fracassado.
Como se prevenir
Assim como o celular e o computador, roteadores também recebem atualizações regulares dos fabricantes para corrigir as vulnerabilidades que são encontradas.
Internautas devem pesquisar pelo modelo do equipamento no site do fabricante e averiguar se há atualizações. Caso haja alguma dúvida para realizar a atualização, deve-se procurar o suporte técnico do provedor de internet (caso seja um equipamento cedido em comodato) ou o próprio fabricante.
A senha de administração do roteador também deve ser modificada. Utilizar qualquer senha diferente da senha que vem configurada de fábrica já fornecerá uma proteção adequada contra a maioria dos ataques.
É difícil ter saber ao certo quais são os modelos atacados pelo "Novidade". De acordo com a Trend Micro, estes são alguns (mas não todos) os equipamentos que podem estar sob ataque:
A-Link: WL54AP3 / WL54AP2
D-Link: DSL-2740R / DIR 905L
Medialink: MWN-WAPR300
Motorola: SBG6580
Maxprint: GWR-120
Secutech: RiS-11 / RiS-22 / RiS-3
TP-Link: TL-WR340G / TL-WR340GD / WR1043ND V1
Equipamentos de conexão considerados obsoletos e que não mais recebem atualizações dos fabricantes são um risco para a segurança. Antes de efetuar uma compra, verifique junto ao fabricante se ele ainda recebe suporte e atualizações.
Para verificar se o roteador foi atacado, é preciso entrar no painel de administração e conferir o IP do servidor de DNS. Roteadores que já foram atacados devem ser restaurados parar o padrão de fábrica (usando o botão "Reset" da unidade ou outro mecanismo descrito no manual de instruções), atualizados para o software mais recente e configurados com uma nova senha antes de serem novamente utilizados.
Nenhum comentário:
Postar um comentário