Um novo ataque a roteadores está roubando informações bancárias dos usuários. A ameaça foi identificada pela empresa de inteligência em segurança TrendMicro e ganhou o nome de “Novidade”. Modelos da D-Link, da Motorola e da TP-Link estão entre os possíveis afetados. A ação dos criminosos, que visam roteadores domésticos ou de pequenos escritórios, envolve alterar as configurações do Sistema de Nomes de Domínio (DNS) por meio da falsificação de solicitação entre sites (CSRF). Assim, smartphones e computadores podem ser invadidos.
O ataque é feito de diversas formas, entre elas, anúncios publicitários maliciosos (malvertising), injeção comprometida de sites e mensagens instantâneas. A primeira amostra do Novidade foi descoberta pelos pesquisadores em agosto de 2017, mas, desde então, duas variantes já foram encontradas em uso em vários países. O Brasil é um dos alvos favoritos, onde usuários tiveram dados bancários vazados a partir de malvertising. A maior campanha foi aplicada 24 milhões de vezes desde março.
Como funciona o golpe
Quando a vítima clica no link, a página preparada pelos hackers ataca às cegas o endereço IP detectado, por todas as brechas possíveis. O invasor, então, tenta fazer login no roteador com nomes e senhas padrão e, em seguida, a técnica CSRF é executada para trocar o servidor DNS original. Com o aparelho comprometido, todos os dispositivos conectados a ele ficam vulneráveis. O bandido pode executar um ataque de pharming, que consiste em redirecionar o acesso a uma URL legítima para um site mal-intencionado.
Uma das campanhas utilizou como isca notificações de mensagens sobre a eleição presidencial brasileira de 2018. O usuário abria uma página e visualizava uma suposta pesquisa sobre os candidatos. Enquanto ele preenchia o questionário, porém, um código malicioso atacava seu roteador. Por fim, o site ainda pedia para que as vítimas compartilhassem a pesquisa com 30 pessoas para receberem os resultados, ajudando a espalhar o golpe.
Roteadores atingidos
Uma lista de roteadores possivelmente atingidos foi feita com base em comparações do código malicioso, do tráfego de rede e do código PoC (prova de conceito, em português) publicado. De acordo com informações reunidas pelo TrendMicro, a Netlab 360 e um post no GhostDNS, foram afetados os seguintes modelos:
A-Link WL54AP3 / WL54AP2 (CVE-2008-6823)
D-Link DSL-2740R
D-Link DIR 905L
Medialink MWN-WAPR300 (CVE-2015-5996)
Motorola SBG6580
Realtron
Roteador GWR-120
Secutech RiS-11 / RiS-22 / RiS-33 (CVE-2018-10080)
TP-Link TL-WR340G / TL-WR340GD
TP-Link WR1043ND V1 (CVE-2013-2645)
Como se defender
Para se manter protegido contra ameaças como essa, os usuários devem sempre atualizar o firmware do roteador para a versão mais recente. Outra medida essencial é personalizar o nome de usuário e colocar uma senha forte na conta, evitando nomes e senhas padrões, que são uma brecha muito explorada por invasores.
Vale a pena também mudar o endereço IP do roteador e desativar os recursos de acesso remoto. Além disso, tente usar sempre conexões seguras da web, garantidas pelo HTTPS na barra de endereço do navegador, ao acessar sites confidenciais.