Um novo tipo de ataque a roteadores está roubando informações bancárias dos usuários. O golpe, batizado de “Novidade”, foi identificado pela empresa de segurança TrendMicro. Como explicam os especialistas, criminosos fazem alterações nas configurações do Sistema de Nomes de Domínio (DNS) por meio da falsificação de solicitação entre sites (CSRF), o que possibilita a invasão de smartphones e computadores.
O ataque é feito por meio de anúncios publicitários maliciosos, injeção comprometida de sites, mensagens instantâneas e outras formas.
A ameaça foi descoberta em agosto de 2017. Desde então, duas variantes já foram detectadas em diferentes países, sendo que o Brasil é um dos principais alvos. A maior campanha de anúncio malicioso foi aplicada 24 milhões de vezes desde março deste ano.
Roteadores atingidos
Segundo a TrendMicro, a Netlab 360 e o GhostDNS, os modelos de roteadores possivelmente afetados são:
A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)
D-Link DSL-2740R
D-Link DIR 905L
Medialink MWN-WAPR300 (CVE-2015-5996)
Motorola SBG6580
Realtron
Roteador GWR-120
Secutech RiS-11 / RiS-22 / RiS-33 (CVE-2018-10080)
TP-Link TL-WR340G / TL-WR340GD
TP-Link WR1043ND V1 (CVE-2013-2645)
Saiba se defender
O ‘TechTudo’ orienta os usuários a manter o firmware do roteador atualizado, além de personalizar o nome de usuário e escolher uma senha forte. Também vale mudar o endereço IP do roteador e desativar recursos de acesso remoto. Tente usar sempre conexões seguras da web, garantidas pelo HTTPS na barra de endereço do navegador.
Ataques
O Brasil lidera a lista de países com o maior número de roteadores MikroTik infectados ou expostos a ataques de mineração de criptomoedas. A ação foi batizada de JS:InfectedMikroTik e utiliza a vulnerabilidade do protocolo WinBox. Criminosos e hackers se aproveitam da falha para gerar moedas eletrônicas a partir do dispositivo do usuário. Na ocasião, mais de 280 mil roteadores tinham sido atacados.
A informação foi divulgada pela Avast, que identificou 85.230 dispositivos afetados no País e bloqueou conexões a URLs maliciosas mais de 22,4 milhões de vezes. De acordo com a companhia, 362.616 roteadores foram protegidos da vulnerabilidade. A lista de países infectados inclui, ainda, a Polônia (43.677 roteadores), Indonésia (27.102) e Argentina (24.255).
As chamadas campanhas de mineração de criptomoedas, como essa bloqueada pela Avast, envolvem malwares que invadem roteadores e outros equipamentos da rede. Eles forçam a navegação a passar por sites que rodem código de exploração de moedas virtuais no computador.
Embora, em geral, esse tipo de ataque não represente riscos de perda de dados e outros danos do tipo, os processos de mineração podem pesar bastante no sistema e provocar travamentos ou lentidão no computador. Na outra ponta, o criminoso apenas coleta o lucro, movimentando as moedas virtuais para sua carteira.