Há uma enorme campanha de cibercriminosos brasileiros capturando roteadores: eles estão com DNS falso e enviando para sites de phishing os clientes de Netflix, de provedores como UOL e Locaweb, e dos principais bancos brasileiros. A campanha ganhou força de 20 de setembro para cá e já contaminou cerca de 100 mil equipamentos de 77 modelos diferentes. Cerca de 87 mil deles estão no Brasil segundo a empresa Qihoo 360. O ataque é o velho dnschanger, mudando o DNS do roteador, mas estruturado em quatro partes: 1) três diferentes programas para abrir ou bypassar a página de administração do roteador: Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger; 2) as outras três partes: o Phishing Web System; o Web Admin System e o Rogue DNS System.Esse esquema ganhou o nome de GhostDNS e está sequestrando tráfego para mais de 50 endereços, inclusive de clientes da Netflix e do Citybank, diz o relatório.
A primeira parte do GhostDNS atualmente já conta com 104 scripts, para conseguir derrubar a segurança de 77 diferentes roteadores. Para escanear a web e localizar os roteadores foi utilizada a API do Shodan, provavelmente sequestrada de ume entidade educacional segundo os pesquisadores. Eles descobriram também um site de administração porque o endereço estava em um dos nós do PyPhp DNSChanger. Eles acreditam que essa interface seja de um sistema administrativo. Coincidência ou não, a imagem na entrada do site é a mesma usada numa página de um testador de credenciais de cibercrime brasileiro para checagem de credenciais do banco Santander (http://www.forum-hacker.com.br/archive/index.php/t-537.html).
Os pesquisadores não conseguiram acesso à parte do DNS, mas puderam confirmar o sequestro de 52 endereços, entre os quais os de oito bancos brasileiros (veja lista mais abaixo). O endereço sequestrado leva o usuário a um servidor de phishing, onde existem páginas idênticas à dos bancos, preparadas para coletar credenciais de acesso. O GhostDNS representa uma ameaça porque é altamente dimensionado, utiliza diversos vetores de ataque e também adota um processo de ataque automatizado. Todos os detalhes da pesquisa estão na página da Qihoo 360 em
https://blog.netlab.360.com/70-different-types-of-home-routers-all-together-100000-are-being-hijacked-by-ghostdns-en
Principais domínios sequestrados
{"domain": "avira.com.br", "rdata": ["0.0.0.0"]}
{"domain": "banco.bradesco", "rdata": ["198.27.121.241"]}
{"domain": "bancobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bancodobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bradesco.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bradesconetempresa.b.br", "rdata": ["193.70.95.89"]}
{"domain": "bradescopj.com.br", "rdata": ["193.70.95.89"]}
{"domain": "br.wordpress.com", "rdata": ["193.70.95.89"]}
{"domain": "caixa.gov.br", "rdata": ["193.70.95.89"]}
{"domain": "citibank.com.br", "rdata": ["193.70.95.89"]}
{"domain": "clickconta.com.br", "rdata": ["193.70.95.89"]}
{"domain": "contasuper.com.br", "rdata": ["193.70.95.89"]}
{"domain": "credicard.com.br", "rdata": ["198.27.121.241"]}
{"domain": "hostgator.com.br", "rdata": ["193.70.95.89"]}
{"domain": "itau.com.br", "rdata": ["193.70.95.89"]}
{"domain": "itaupersonnalite.com.br", "rdata": ["193.70.95.89"]}
{"domain": "kinghost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "locaweb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "netflix.com.br", "rdata": ["35.237.127.167"]}
{"domain": "netflix.com", "rdata": ["35.237.127.167"]}
{"domain": "painelhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "santander.com.br", "rdata": ["193.70.95.89"]}
{"domain": "santandernet.com.br", "rdata": ["193.70.95.89"]}
{"domain": "sicredi.com.br", "rdata": ["193.70.95.89"]}
{"domain": "superdigital.com.br", "rdata": ["193.70.95.89"]}
{"domain": "umbler.com", "rdata": ["193.70.95.89"]}
{"domain": "uolhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.banco.bradesco", "rdata": ["198.27.121.241"]}
{"domain": "www.bancobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradesco.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradesconetempresa.b.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradescopj.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.br.wordpress.com", "rdata": ["193.70.95.89"]}
{"domain": "www.caixa.gov.br", "rdata": ["193.70.95.89"]}
{"domain": "www.citibank.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.credicard.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.hostgator.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.itau.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.kinghost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.locaweb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.netflix.com", "rdata": ["193.70.95.89"]}
{"domain": "www.netflix.net", "rdata": ["193.70.95.89"]}
{"domain": "www.painelhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.santander.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.santandernet.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.sicredi.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.superdigital.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.umbler.com", "rdata": ["193.70.95.89"]}
{"domain": "www.uolhost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.uolhost.uol.com.br", "rdata": ["193.70.95.89"]}