Os especialistas da Avast conseguiram o código-fonte do kit de exploração GhostDNS para análise e descobriram que ele foca diretamente em clientes de 11 bancos brasileiros (veja a lista abaixo) e também em transações de comércio eletrônico e turismo. Ele foi usado para infectar roteadores aqui e fazer ataques de CSRF (falsificação de solicitação entre sites), para alterar as configurações de DNS dos roteadores. Com isso, os usuários são direcionados para sites de phishing, onde suas credenciais de login e informações de cartões de crédito são capturadas em cópias dos sites originais. A análise da empresa mostra que o kit de exploração foi projetado para escanear dezenas de milhares de endereços IP do Brasil, EUA e México, em busca de portas abertas que permitam aos cibercriminosos invadir os dispositivos. Um olhar mais atento do código-fonte mostrou que, os invasores também podem alterar as credenciais de login do roteador infectado para as credenciais predefinidas pelo fabricante.
A Avast obteve acesso ao código-fonte quando o Avast Módulo Internet, incluído em todas as versões do Avast Antivírus, bloqueou um usuário Avast que tentava compartilhar esses dados em uma plataforma de compartilhamento de arquivos. O kit de exploração, que em 2018 foi vendido na web por aproximadamente 450 dólares, geralmente é distribuído por malvertising, publicidade maliciosa, mas também pode atacar roteadores pela internet. Primeiro, ele faz uma busca na web por endereços IP abertos e, em seguida, executa um script na tentativa de obter acesso aos roteadores usando credenciais de login padrão ou credenciais utilizadas com frequência. Depois que o kit de exploração obtém o acesso a um roteador via CSRF, ele usa um método de sequestro de DNS para redirecionar os usuários para sites de phishing projetados para parecerem idênticos aos sites que as pessoas realmente estão tentando visitar. Tudo o que o usuário envia pelo site de phishing, por exemplo, credenciais de login ou informações de cartões de crédito, é enviado diretamente ao cibercriminoso.
A análise mostra que uma das versões do kit de exploração foi projetada para digitalizar cerca de 5 bilhões de endereços IP, para identificar portas abertas que pudessem ser exploradas. Destes mais de 50% são de endereços IP do Brasil, mais de 20% dos EUA e mais de 10% localizados no México.
“Uma das descobertas interessantes que tivemos foi que o kit de exploração exclui intencionalmente determinados endereços da Unicamp, que é membro do Projeto de Honeypots Distribuídos”, disse Simona Musilová, Analista de Ameaças da Avast. “Acreditamos que os cibercriminosos desejam que o seu kit de exploração permaneça despercebido o maior tempo possível e, portanto, evitando esse intervalo de endereços IP”.
A análise encontrou no código-fonte uma lista de credenciais de login de roteadores e o código-fonte de páginas de phishing que podem ser usadas para realizar ataques. Várias páginas de phishing imitavam alguns dos maiores bancos do Brasil, assim como Netflix, domínios de hospedagem, sites de notícias e de empresas de viagens (veja a lista abaixo).
“Até onde sabemos, somos os primeiros a analisar esse código-fonte, que é normalmente utilizado para atingir brasileiros que não alteraram as credenciais de login padrão do roteador – ou que usam credenciais fracas. Embora não exista uma campanha ativa no momento, em novembro de 2019, bloqueamos mais de 7.000 tentativas de ataques de CSRF voltados à execução de comandos sem o conhecimento dos usuários, para modificar silenciosamente suas configurações de DNS e realizar ataques. Com base em nossos dados, 76% das credenciais de login dos roteadores no Brasil têm senhas fracas, deixando-os vulneráveis a ataques de CSRF”, diz Musilová.
As páginas com código-fonte de phishing incluídas no código do GhostDNS imitam as das seguintes organizações:
Banco Bradesco
Itau
Caixa
Santander
MercadoPago
CrediCard
Netflix
Flytour Viagens
Banco de Brazil
Cartao UNI
Sicoob
Banco Original
CitiBank
Locaweb
MisterMoneyBrazil
UOL
PayPal
LATAM Pass
Serasa Experian
Sicredi
SwitchFly
Umbler
