Falha em modem infecta 4,5 milhões com malware no Brasil
Um falha praticamente imperceptível em modens ADSL fez com que mais de 4,5 milhões de dispositivos fossem infectados no Brasil desde 2011. O objetivo, segundo pesquisa divulgada nesta quarta-feira (03/10) pela Kaspersky Lab, era roubar dados de internet banking “de forma massiva e silenciosa”. A ameaça ainda está ativa.
Curta, no Facebook, a Fan Page do IT Web
O caso não era desconhecido e os dados sobre o número de afetados são do último informativo da Cert Brasil, cujo último relatório sobre o tema, de março deste ano, indicava que 300 mil equipamentos ainda estavam comprometidos.
Contudo, a companhia apresentou, agora, um estudo com os detalhes da situação, que indicam o uso, para o ataque, de 40 servidores maliciosos de DNS (sistemas de nomes de domínio). Os servidores estavam em diferentes serviços de hospedagem (quase todos fora do Brasil), que eram configurados como DNS primário, mantendo-se o servidor secundário do provedor de internet ou DNS público do Google como endereço alternativo.
“Desta forma, os atacantes poderiam controlar o tráfego e manter a discrição do ataque, pois os DNSs maliciosos eram ativados apenas em alguns momentos de cada dia, em horários específicos. Uma vez em funcionamento, ele dirigia as vítimas para páginas falsas de bancos brasileiros. Outros bandidos também aproveitaram os redirecionamentos para instalar malware em máquinas das vítimas”, explicou o material.
Alvo diferente
De acordo com a Kaspersky, diferentemente dos ataques comuns, que têm como alvo os PCs, este tinha como objetivo infectar e alterar as configurações de dispositivos de redes (os modems de internet) domésticos desatualizados por meio de uma vulnerabilidade presente no firmware dos equipamentos.
“A eficácia e tempo prolongado de atuação do ataque se justifica pela negligência generalizada dos fabricantes do hardware e provedores de internet e por falta de conhecimento técnico por parte dos proprietários, que uma vez que instalam o modem, não se preocupam com a aplicação de atualizações de firmware fornecidos pelos fabricantes”, explicou a companhia.
A companhia de segurança relembra que a atualização do firmware do modem é uma operação avançada e que, caso realizada erroneamente, pode inutilizar o equipamento.
Quando
Ainda não se sabe exatamente quando os criminosos começaram a explorá-la. Ao acessar o modem, o cibercriminoso alterava a configuração do sistema de nomes de domínio (DNS) e mudava a senha para impedir que o proprietário pudesse remover as alterações feitas no equipamento. “Aparentemente, a falha não está relacionada a um modelo ou fabricante, mas sim ao driver do chipset que executa as principais funções do equipamento e é comprado por fabricantes de modems domésticos”, disse o material.
Todos os dispositivos afetados têm em comum chipset Broadcom, inclusive em modems aprovados pela Agência Nacional de Telecomunicações (Anatel). “Curiosamente, nem todos os dispositivos que usam esse chip apresentam a falha”, continuou.
DNSChanger
Recentemente, em julho deste ano, o FBI desligou servidores contaminados com o malware DNSChanger, fazendo com que PCs ligados a ele perdessem a conexão com a internet. A história também durou alguns anos. O FBI tomou posse dos servidores após a “Operation Ghost Click” (em tradução livre: “Operação Clique Fantasma”), na qual trabalhou em conjunto com o departamento de polícia da Estônia para prender seis estonianos que usavam o malware para desviar dinheiro.
Para cometer a fraude – forçando um navegador da web a “clicar” em certos anúncios, gerando receita de redes de pay-per-impression ou taxas de referência – os criminosos usaram seu malware para alterar as configurações de DNS (Domain Name System) no PCs infectados e ligá-los aos seus próprios servidores DNS, criando botnets. Segundo a AVG, para evitar que os computadores contaminados, e que, portanto, estavam usando os servidores DNS falsos, ficassem sem acesso à internet, o FBI substitui temporariamente esses servidores por servidores limpos.
Ao todo, os criminosos receberam US$ 14 milhões. Segundo a AVG, o processo começou em 2007 e chegou a atingir quatro milhões de máquinas.
