A ESET, empresa líder em detecção proativa de ameaças, analisa uma campanha que prejudica os roteadores domésticos, interceptando o tráfego de usuários e redirecionando para sites falsos que se passam por bancos para roubar dados do usuário. Brasil, Bolívia e Argentina estão entre os três principais países mais afetados por esta campanha.
O número de modelos de roteadores / firmware atacados é superior a 70 e há mais de 100.000 roteadores domésticos que foram interceptados pelos invasores para redirecionar o tráfego. Entre eles, existem alguns modelos de marcas como D-Link, TP-Link, Kaiomy, Huawei, Tenda, Ralink e MikroTik.
O Brasil é o país com o maior número de vítimas, com quase 91.605 dos roteadores de uso doméstico afetados (equivalente a 88% dos dispositivos); seguido pela Bolívia com 7.644 e pela Argentina com 2.581, entre os três principais países. Quanto ao golpe, existem mais de 50 domínios cuja identidade foi suplantada e a maioria envolve bancos conhecidos que operam nos países sul-americanos.
“A operação da campanha é baseada no rastreamento de IPs do Brasil, em busca de roteadores que tenham senhas fracas, para acessá-los e substituir a configuração legítima do DNS por endereços IP de servidores que estão sob controle dos cibercriminosos”, esclarece Camilo Gutierrez, Chefe do Laboratório de Pesquisa da ESET América Latina. Essas modificações redirecionam as consultas DNS, que passam pelos dispositivos comprometidos, para o servidor afetado. Este servidor contém uma lista com 52 páginas de phishing que substituem a identidade de sites legítimos (principalmente bancos), com o objetivo de roubar credenciais de acesso das vítimas. Além de instituições financeiras, a campanha também inclui serviços de hospedagem ou sites de streaming, como o Netflix, entre outros.
Algumas das instituições financeiras cuja identidade foi suplantada foram: Bradesco, Itaú, Banco do Brasil, Caixa ou Citibank, entre outras. “É importante ressaltar que não é uma falha nos sites dessas instituições, é uma vulnerabilidade explorada em roteadores para uso doméstico“, acrescenta Gutierrez.
A empresa Netlab 360 informou a vários provedores de internet sobre o incidente, assim como o Google, e a grande maioria desses sites falsos foram cancelados.
Para mais informações, visite o portal de notícias da ESET chamado WeLiveSecurity em: https://www.welivesecurity.