A rede de aplicações da Avast registrou no Brasil, em apenas dois dias, mais de 10 mil tentativas de ataques aos roteadores de 4,5 mil usuários dos seus sistemas de segurança, incluindo o antivírus. Os ataques ocorreram de 20 a 22 de outubro de 2020, repetindo os que a empresa já havia registrado em maio deste ano.
Os cibercriminosos usam ataques CSRF (cross site request forgery) para realizar comandos sem o conhecimento das pessoas, silenciosamente modificando as configurações de DNS do roteador. Nesta campanha dos cibercriminosos, as configurações de DNS estavam sendo modificadas mas segundo a Avast eles ainda não haviam começado a redirecionar os usuários para os sites de phishing.
Veja isso
Código do GhostDNS mira clientes de 11 bancos no Brasil
Ataques a roteadores visam cliente da Netflix, Bradesco e outros
Os kits de exploração de roteadores são populares no Brasil. No final do ano passado, a Avast descobriu duas landing pages hospedando o Novidade, uma versão do kit de exploração GhostDNS. A campanha mais recente, monitorada pela Avast, também usou o Novidade.
O que é CSRF
Um ataque CSRF de roteador é normalmente iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), que é veiculada por meio de redes de anúncios de terceiros para o site. Nesse caso, os usuários são redirecionados automaticamente para uma landing page do kit de exploração do roteador, iniciando o ataque em seu aparelho, sem a interação do usuário em segundo plano. A landing page que hospedava a variante GhostDNS era hxxp[:]//91.234.99[.]178/secure/
Os kits de exploração podem atacar com sucesso um roteador – já que muitos roteadores são protegidos com credenciais fracas -, geralmente as credenciais padrão, com as quais o roteador é entregue, são informações que podem ser facilmente encontradas na internet. De acordo com uma pesquisa da Avast*, 43% dos brasileiros nunca se conectaram à interface administrativa web, para alterar as credenciais de login de fábrica do roteador.
“Os ataques CSRF a roteadores são, infelizmente, muito populares no Brasil e vemos o kit de exploração Ghost DNS sendo usado para direcionar os roteadores de brasileiros, novamente, de tempos em tempos”, diz Simona Musilová, Analista de Ameaças da Avast. “Enquanto a campanha não esteja mais ativa e os invasores ainda não tenham redirecionado os usuários para sites de phishing, isso não significa que aqueles infectados estejam seguros. Os invasores podem começar a redirecionar os usuários sem qualquer suspeita, para sites de phishing a qualquer momento. No passado, os cibercriminosos redirecionavam os usuários que tentavam visitar sites de bancos populares ou sites como Netflix, para coletar credenciais de login”.
Com agências internacionais