Netranet – Blog Oficial | Segurança da Informação, Proteção de Dados e Soluções de Data Center

GhostDNS, novo botnet invade mais de 100.000 roteadores

Netranet
Blog Netranet Networking | Segurança da Informação - GhostDNS, novo botnet invade mais de 100.000 roteadores

Blog Netranet Networking | Segurança da Informação - GhostDNS, novo botnet invade mais de 100.000 roteadores

GhostDNS, novo botnet invade mais de 100.000 roteadores

GhostDNS – Pesquisadores chineses de segurança cibernética descobriram uma ampla campanha de malware em andamento que já sequestrou mais de 100.000 roteadores domésticos e modificou suas configurações de DNS para hackear usuários com páginas maliciosas – especialmente se visitarem sites bancários – e roubar suas credenciais de login.

Apelidado de GhostDNS, a campanha tem muitas semelhanças com o infame malware DNSChanger que funciona alterando as configurações do servidor DNS em um dispositivo infectado, permitindo que os invasores direcionem o tráfego da Internet dos usuários através de servidores mal-intencionados e roubem dados confidenciais.

De acordo com um novo relatório do NetLab, da firma de segurança cibernética Qihoo 360, assim como a campanha regular do DNSChanger, o GhostDNS procura endereços IP para roteadores que usam senha fraca ou nenhuma senha, acessa as configurações dos roteadores e altera o endereço DNS padrão do roteador.

O sistema GhostDNS inclui principalmente quatro módulos:

GhostDNS projetado para explorar roteadores direcionados com base nas informações coletadas.

O DNSChanger Module é composto de três sub-módulos, que os pesquisadores apelidaram de Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger.

  1. a) Shell DNSChanger – Escrito na linguagem de programação Shell, este sub-módulo combina 25 scripts Shell que podem forçar brutalmente as senhas em roteadores ou pacotes de firmware de 21 fabricantes diferentes.
  2. b) Js DNSChanger – Principalmente escrito em JavaScript, este sub-módulo inclui 10 scripts de ataque projetados para infectar 6 roteadores ou pacotes de firmware.

Sua estrutura funcional é dividida principalmente em scanners, geradores de carga útil e programas de ataque. O programa Js DNSChanger geralmente é injetado em sites de phishing, então funciona junto com o Phishing Web System“, dizem os pesquisadores.

  1. c) PyPhp DNSChanger – Escrito em Python e PHP, este sub-módulo contém 69 scripts de ataque contra 47 diferentes roteadores / firmware e foi encontrado em mais de 100 servidores, a maioria dos quais no Google Cloud, e inclui funcionalidades como Web API, Scanner. e módulo de ataque.

Este sub-módulo é o módulo central do DNSChanger que permite que os invasores varrem a Internet para encontrar roteadores vulneráveis.

2) Módulo Web Admin: Embora os pesquisadores ainda não tenham muita informação sobre este módulo, ele parece ser um painel de administração para atacantes seguros com uma página de login.

3) Módulo de DNS desonesto: Este módulo é responsável por resolver nomes de domínio direcionados dos servidores Web controlados pelo invasor, que envolvem principalmente serviços de hospedagem bancária e em nuvem, juntamente com um domínio que pertence a uma empresa de segurança chamada Avira.

Não temos acesso ao servidor DNS do Rouge, por isso não podemos dizer com certeza quantos nomes DNS foram sequestrados, mas consultando o Alexa Top1M e os domínios Top1M do DNSMon contra o servidor DNS invasor (139.60.162.188), foram capazes de encontrar um total de 52 domínios sendo sequestrados“, dizem os pesquisadores da NetLab.

4) Módulo da Web de Phishing: quando um domínio segmentado é resolvido com êxito por meio do módulo DNS invasor, o módulo da web de Phishing procura server a versão certa para esse site específico.

Malware do GhostDNS que direciona principalmente usuários brasileiros.

Segundo os pesquisadores, entre os dias 21 e 27 de setembro, a campanha do GhostDNS comprometeu mais de 100.000 roteadores, dos quais 87,8% dos dispositivos (que equivalem a 87.800) estão localizados apenas no Brasil, o que significa que o Brasil é o principal alvo dos invasores do GhostDNS.

“Atualmente a campanha se concentra principalmente no Brasil, contamos 100k + endereços IP de roteadores infectados (87,8% localizados no Brasil), e mais de 70 roteadores / firmware foram envolvidos, e mais de 50 nomes de domínio como alguns grandes bancos no Brasil, até mesmo o Netflix e o Citibank.br foram sequestrados para roubar as credenciais de login do site correspondentes “, dizem os pesquisadores.

Como a campanha do GhostDNS é altamente dimensionada, utiliza um vetor de ataque diferente e adota o processo de ataque automatizado, o que representa uma ameaça real aos usuários. Portanto, os usuários são aconselhados a se protegerem.

Como proteger seu roteador doméstico de hackers

Para evitar que você seja vítima de tais ataques, é recomendável garantir que o roteador esteja executando a versão mais recente do firmware e defina uma senha forte para o portal da web do roteador.

Você também pode considerar desabilitar a administração remota, alterar seu endereço IP local padrão e codificar um servidor DNS confiável no roteador ou no sistema operacional.

Blog Netranet Networking | Segurança da Informação – Sophos XG Firewall. Conheça a melhor proteção do Firewall do mundo.

Os pesquisadores da NetLab também recomendaram que os fornecedores de roteadores aumentassem a complexidade da senha padrão do roteador e aprimorassem o mecanismo de atualização de segurança do sistema para seus produtos.

Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.

Leia também: Pesquisadores de segurança cibernética descobriram o primeiro Rootkit UEFI em estado selvagem.

Sair da versão mobile