Clientes do Bradesco e do Netflix no Brasil são alvos de ataques a roteadores

0
0

A Avast bloqueou mais de 7.000 tentativas de ataques de falsificação de solicitações entre sites (conhecidos como ataques CSRF – Cross-Site Request Forgery) no Brasil, em novembro. Os cibercriminosos utilizam este método para executar comandos sem o conhecimento dos usuários e, nesse caso, modificar silenciosamente suas configurações de DNS (nome de domínio do sistema) no roteador para realizar ataques. Os kits de exploração de roteadores são populares no Brasil e, no mês passado, a Avast descobriu duas páginas que hospedavam o "Novidade", uma versão do kit de exploração GhostDNS.

No geral, um ataque de CSRF ao roteador é iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), que é veiculada usando redes de anúncios de terceiros no site. Nesse caso, os usuários foram redirecionados automaticamente para uma das duas páginas de destino do kit de exploração do roteador, iniciando o ataque ao roteador sem a interação do usuário, fazendo tudo em segundo plano. As páginas de destino que hospedavam a variante GhostDNS são

hxxp[:]//novonovonovo.users.scale.virtualcloud.com[.]br e

hxxp[:]//avast.users.scale.virtualcloud.com[.]br.

As páginas de destino continham um link Bitly, que revela que as páginas foram visitadas cerca de 222.000 vezes na segunda quinzena de novembro.
"Não sabemos ao certo a razão dos criminosos utilizarem 'avast' no segundo URL, mas suspeitamos que isso tenha ocorrido porque bloqueamos a primeira página de destino", diz Simona Musilová, analista de Ameaças da Avast.

"Enquanto nosso Web Shield incluído nas versões gratuitas e premium do Avast Antivirus, bloqueia tentativas de ataques contra os nossos usuários, não há como sabermos se as mais de 200.000 pessoas redirecionadas para as páginas de destino foram protegidas ou não".

Os kits de exploração podem atacar com êxito um roteador. Muitos roteadores estão protegidos com credenciais fracas, pois geralmente são credenciais padrão entregues junto com o roteador e cujas informações podem ser facilmente encontradas online. De acordo com uma *pesquisa da Avast 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores, para alterar as credenciais de login de fábrica.

Nesse ataque, o roteador pode ser reconfigurado para usar servidores DNS não autorizados, que redirecionam as vítimas para páginas de phishing que se parecem muito com sites reais.

Os seguintes domínios podem ser afetados através do seqüestro de DNS:

• bradesco.com.br

• santandernetibe.com.br

• pagseguro.com.br

• terra.com.br

• uol.com.br

• netflix.com

No caso do Bradesco, as vítimas inseriram o URL do site em sua barra de endereços e foram redirecionadas para uma versão de phishing do site do banco, onde poderiam "fazer o login" de suas contas e inclusive pedindo seu código de autenticação de dois fatores. Assim que o usuário acessava sua "conta falsa", o site malicioso exibia uma mensagem de erro ou simplesmente agia como se estivesse carregando. Quando os usuários faziam o logoff na versão de phishing, eles eram direcionados para o site real do banco, onde poderiam realmente fazer o login da sua conta.

A página de phishing da Netflix, por outro lado, exige que a vítima entre com seu endereço de e-mail e, então, solicita as informações de cartão de crédito pedindo até mesmo que o usuário faça o upload do escaneamento do seu cartão de crédito.

* Pesquisa online realizada com mais de 1.500 usuários da Avast, em junho de 2018.

Deixe seu comentário