Clientes de 8 bancos vítimas de 87 mil roteadores

Paulo Brito
02/10/2018
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest
Mapa da contaminação

Há uma enorme campanha de cibercriminosos brasileiros capturando roteadores: eles estão com DNS falso e enviando para sites de phishing os clientes de Netflix, de provedores como UOL e Locaweb, e dos principais bancos brasileiros. A campanha ganhou força de 20 de setembro para cá e já contaminou cerca de 100 mil equipamentos de 77 modelos diferentes. Cerca de 87 mil deles estão no Brasil segundo a empresa Qihoo 360. O ataque é o velho dnschanger, mudando o DNS do roteador, mas estruturado em quatro partes: 1) três diferentes programas para abrir ou bypassar a página de administração do roteador: Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger; 2) as outras três partes: o Phishing Web System; o Web Admin System e o Rogue DNS System.Esse esquema ganhou o nome de GhostDNS e está sequestrando tráfego para mais de 50 endereços, inclusive de clientes da Netflix e do Citybank, diz o relatório.

A primeira parte do GhostDNS atualmente já conta com 104 scripts, para conseguir derrubar a segurança de 77 diferentes roteadores. Para escanear a web e localizar os roteadores foi utilizada a API do Shodan, provavelmente sequestrada de ume entidade educacional segundo os pesquisadores. Eles descobriram também um site de administração porque o endereço estava em um dos nós do PyPhp DNSChanger. Eles acreditam que essa interface seja de um sistema administrativo. Coincidência ou não, a imagem na entrada do site é a mesma usada numa página de um testador de credenciais de cibercrime brasileiro para checagem de credenciais do banco Santander (http://www.forum-hacker.com.br/archive/index.php/t-537.html).

Os pesquisadores não conseguiram acesso à parte do DNS, mas puderam confirmar o sequestro de 52 endereços, entre os quais os de oito bancos brasileiros (veja lista mais abaixo). O endereço sequestrado leva o usuário a um servidor de phishing, onde existem páginas idênticas à dos bancos, preparadas para coletar credenciais de acesso. O GhostDNS representa uma ameaça porque é altamente dimensionado, utiliza diversos vetores de ataque e também adota um processo de ataque automatizado. Todos os detalhes da pesquisa estão na página da Qihoo 360 em
https://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-being-hijacked-by-ghostdns-en

Principais domínios sequestrados

{"domain": "avira.com.br", "rdata": ["0.0.0.0"]}
{"domain": "banco.bradesco", "rdata": ["198.27.121.241"]}
{"domain": "bancobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bancodobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bradesco.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bradesconetempresa.b.br", "rdata": ["193.70.95.89"]}
{"domain": "bradescopj.com.br", "rdata": ["193.70.95.89"]}
{"domain": "br.wordpress.com", "rdata": ["193.70.95.89"]}
{"domain": "caixa.gov.br", "rdata": ["193.70.95.89"]}
{"domain": "citibank.com.br", "rdata": ["193.70.95.89"]}
{"domain": "clickconta.com.br", "rdata": ["193.70.95.89"]}
{"domain": "contasuper.com.br", "rdata": ["193.70.95.89"]}
{"domain": "credicard.com.br", "rdata": ["198.27.121.241"]}
{"domain": "hostgator.com.br", "rdata": ["193.70.95.89"]}
{"domain": "itau.com.br", "rdata": ["193.70.95.89"]}
{"domain": "itaupersonnalite.com.br", "rdata": ["193.70.95.89"]}
{"domain": "kinghost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "locaweb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "netflix.com.br", "rdata": ["35.237.127.167"]}
{"domain": "netflix.com", "rdata": ["35.237.127.167"]}
{"domain": "painelhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "santander.com.br", "rdata": ["193.70.95.89"]}
{"domain": "santandernet.com.br", "rdata": ["193.70.95.89"]}
{"domain": "sicredi.com.br", "rdata": ["193.70.95.89"]}
{"domain": "superdigital.com.br", "rdata": ["193.70.95.89"]}
{"domain": "umbler.com", "rdata": ["193.70.95.89"]}
{"domain": "uolhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.banco.bradesco", "rdata": ["198.27.121.241"]}
{"domain": "www.bancobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradesco.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradesconetempresa.b.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradescopj.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.br.wordpress.com", "rdata": ["193.70.95.89"]}
{"domain": "www.caixa.gov.br", "rdata": ["193.70.95.89"]}
{"domain": "www.citibank.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.credicard.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.hostgator.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.itau.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.kinghost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.locaweb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.netflix.com", "rdata": ["193.70.95.89"]}
{"domain": "www.netflix.net", "rdata": ["193.70.95.89"]}
{"domain": "www.painelhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.santander.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.santandernet.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.sicredi.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.superdigital.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.umbler.com", "rdata": ["193.70.95.89"]}
{"domain": "www.uolhost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.uolhost.uol.com.br", "rdata": ["193.70.95.89"]}

 

 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest