Roteadores vulneráveis são modificados para redirecionar o tráfego web dos usuários para sites de phishing, visando acessar credenciais e informações de pagamentos
Mais de 7 mil tentativas de ataques de falsificação de solicitações entre sites no Brasil (conhecidos como ataques CSRF – Cross-Site Request Forgery) foram bloqueados em novembro pela Avast, fornecedora de produtos de segurança digital. Os cibercriminosos utilizam esse método para executar comandos sem o conhecimento dos usuários e, neste caso, modificar silenciosamente suas configurações de DNS (nome de domínio do sistema) no roteador para realizar ataques. Os kits de exploração de roteadores são populares no Brasil e, no mês passado, a Avast descobriu duas páginas que hospedavam o “Novidade”, uma versão do kit de exploração GhostDNS.
Geralmente, um ataque de CSRF ao roteador é iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), que é veiculada usando redes de anúncios de terceiros no site. Nesse caso, os usuários foram redirecionados automaticamente para uma das duas páginas de destino do kit de exploração do roteador, iniciando o ataque ao roteador sem a interação do usuário, fazendo tudo em segundo plano. As páginas de destino que hospedavam a variante GhostDNS são:
hxxp[:]//novonovonovo.users.scale.virtualcloud.com[.]br e hxxp[:]//avast.users.scale.virtualcloud.com[.]br.
As páginas de destino continham um link Bitly, que revela que as páginas foram visitadas cerca de 222 mil vezes na segunda quinzena de novembro.
“Não sabemos ao certo a razão dos criminosos utilizarem ‘Avast’ no segundo URL, mas suspeitamos que isso tenha ocorrido porque bloqueamos a primeira página de destino”, diz Simona Musilová, analista de ameaças da Avast.
Os kits de exploração podem atacar com êxito um roteador. Muitos roteadores estão protegidos com credenciais fracas, pois geralmente são credenciais padrão entregues junto com o roteador e cujas informações podem ser facilmente encontradas online. De acordo com uma pesquisa da Avast 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores, para alterar as credenciais de login de fábrica.
Nesse ataque, o roteador pode ser reconfigurado para usar servidores DNS não autorizados, que redirecionam as vítimas para páginas de phishing que se parecem muito com sites reais.
Os seguintes domínios podem ser afetados através do sequestro de DNS:
bradesco.com.br
santandernetibe.com.br
pagseguro.com.br
terra.com.br
uol.com.br
netflix.com
Esta não é a primeira vez que esses sites são alvos de ataques de CSRF. Eles são escolhidos por serem populares e, em geral, exigem que os usuários façam login ou insiram informações de pagamentos. Depois de feito isso, suas credenciais de login e informações de pagamentos vão diretamente para os cibercriminosos, dando a eles o acesso à Netflix e às contas bancárias, por exemplo.
No caso do Bradesco, as vítimas inseriram a URL do site em sua barra de endereços e foram redirecionadas para uma versão de phishing do site do banco, onde poderiam “fazer o login” de suas contas e inclusive pedindo o código de autenticação de dois fatores. Assim que o usuário acessava sua “conta falsa”, o site malicioso exibia uma mensagem de erro ou simplesmente agia como se estivesse carregando. Quando os usuários faziam o logoff na versão de phishing, eles eram direcionados para o site real do banco, onde poderiam realmente fazer o login da sua conta. A página de phishing da Netflix, por outro lado, exige que a vítima entre com seu endereço de e-mail e, então, solicita as informações de cartão de crédito pedindo até mesmo que o usuário faça o upload do escaneamento do seu cartão de crédito.
