Uma campanha de malware que visa roubar credenciais bancárias através de ataques a roteadores pode ter afetado mais de 200 mil usuários brasileiros no mês de novembro, segundo um relatório publicado pela empresa de segurança Avast. A notícia está no site Olhar Digital.
A campanha usa um ataque conhecido como GhostDNS e funciona de forma engenhosa: ao visitar uma página infectada com malware, um script tenta acessar o roteador do usuário e modificar suas configurações de DNS, serviço que converte os “nomes” dos sites (como www.bradesco.com.br) em endereços IP (23.40.24.43). A ideia é redirecionar a conexão para uma página falsa, sob controle dos criminosos. A técnica é conhecida como Cross-Site Request Forgery (CSRF, na sigla em inglês).
A página é uma cópia do site real, mas apenas a área de login funciona. Quando a vítima digita seu nome de usuário e senha, os dados são capturados e enviados para os criminosos. Uma falsa mensagem de erro dizendo que “o sistema não está disponível” é mostrada na tela, e após isso a vítima é redirecionada ao site real.
Segundo Simona Musilová, autora do relatório, endereços como bradesco.com.br, santandernetibe.com.br, pagseguro.com.br, terra.com.br, uol.com.br e netflix.com estavam na mira dos malfeitores.
A Avast identificou duas URLs responsáveis por distribuir o malware. Segundo a empresa, sua ferramenta WebShield bloqueou mais de 1.000 acessos em 19 de novembro, e outros 7.500 entre os dias 25 e 26. Analisando um link encurtado com o serviço bit.ly e usado na campanha, a empresa identificou no total mais de 220 mil cliques em ambos os sites.
A melhor forma de se proteger contra o ataque é seguir nosso passo-a-passo e alterar as configurações de seu roteador para que não use uma senha padrão de fábrica, já que estas são conhecidas pelos criminosos. Em seguida, é recomendada a atualização do firmware do equipamento, para corrigir eventuais vulnerabilidades que tenham sido descobertas pelo fabricante.