Brasil Links em mensagens no WhatsApp envenenam roteador de internet para roubar senhas bancárias
Por Redação O Sul | 14 de dezembro de 2018
A fabricante de antivírus Trend Micro publicou um alerta de segurança detalhando um ataque que atingiu principalmente usuários brasileiros e que adultera o roteador de internet da vítima enquanto ela navega na internet. A adulteração serve para abrir caminho para o roubo de senhas, inclusive no acesso a serviços bancários. Chamado de “Novidade” pelos especialistas da empresa, algumas das páginas envolvidas no ataque foram divulgadas em mensagens do WhatsApp.
Caso o ataque tenha sucesso, o código modifica a configuração de DNS (Domain Name System) do roteador. Essa configuração permite ao criminoso redirecionar o endereço IP no acesso a qualquer página da web.
Dessa maneira, um acesso ao Google ou ao site do banco pode levar a vítima para um site clonado que vai solicitar a instalação de programas maliciosos ou até apresentar uma página falsa para preencher dados que serão enviados diretamente aos golpistas.
É muito difícil de evitar contato com o código de ataque. Além de estar presente em sites maliciosos projetados pelos criminosos, ele também foi incluído em campanhas publicitárias. Essa tática, conhecida como “malvertising”, faz com que o peças publicitárias veiculadas em vários sites carreguem o código de ataque junto com a imagem ou texto publicitário.
Como o alvo do ataque é o roteador, todos os dispositivos conectados na mesma rede podem acabar caindo nas páginas clonadas após o redirecionamento. Por exemplo, se um site com o código foi acessado em um notebook, um celular conectado à mesma rede Wi-Fi também verá as páginas clonadas.
De acordo com o alerta, a palavra “Novidade” aparece em todos os códigos atuais envolvidos na ação e por isso foi escolhida para identificar o ataque.
O código estaria em sua versão 3, que é mais sofisticada que as anteriores por ser capaz de atingir mais modelos de roteadores. As primeiras versões foram encontradas em agosto de 2017, mas os ataques ainda estão ocorrendo: algumas das mensagens fazem menção a temas da eleição.
Como funciona o ataque
O código de ataque do “Novidade” é um kit com 3 etapas. Ele é executado pelo navegador de internet (o Chrome, Edge, Firefox ou outro) quando uma página contendo o código é carregada.
Como o código foi incluído também em anúncios publicitários, diversos sites podem ter veiculado o código como parte de sua publicidade, sem saber disso. De acordo com a Trend Micro, um dos links acumulou 24 milhões de acessos desde março.
Diferente de outros ataques na web, o código não mira o computador ou celular da vítima. Em vez disso, na primeira etapa, ele tenta identificar o endereço IP do roteador de internet – o aparelho responsável por fornecer acesso Wi-Fi ou à internet.
Depois que o IP foi identificado, o código relaciona o endereço às marcas e modelos que costumam usar aquele IP. Na sequência, para a segunda etapa do ataque, são feitas diversas tentativas para explorar as falhas de segurança conhecidas nos aparelhos. Se esses ataques tiverem êxito, o código ganhará o controle total do roteador.
Na terceira etapa, o código tenta acessar o roteador usando combinações de usuário e senha padrão, que são configuradas por provedores de internet ou pelos fabricantes dos aparelhos.
Caso o celular esteja no 4G no momento do acesso à página ou o kit de ataque não tenha sucesso na exploração das falhas ou no uso das senhas padrão, nenhuma modificação será feita e o ataque terá fracassado.
Proteção
Assim como o celular e o computador, roteadores também recebem atualizações regulares dos fabricantes para corrigir as vulnerabilidades que são encontradas.
Internautas devem pesquisar pelo modelo do equipamento no site do fabricante e averiguar se há atualizações. Caso haja alguma dúvida para realizar a atualização, deve-se procurar o suporte técnico do provedor de internet (caso seja um equipamento cedido em comodato) ou o próprio fabricante.
