Dispositivos móveis usados para executar malware DNS contra roteadores domésticos

Ataques contra roteadores domésticos já estão acontecendo há anos – malware que usam os roteadores para ataques de reformulação de DNS e backdoors, entre outros. Só no ano passado um de nossos pesquisadores relatou um malware alterador de Sistema de Nome de Domínio (DNS) que redirecionava usuários para páginas maliciosas, ao visitarem sites específicos. Isso possibilitava que os vigaristas obtivessem credenciais online das vítimas, como senhas e PINs.

Nós, recentemente, nos deparamos com um ataque que prova como a Internet das Coisas (IoT) pode ser um ponto de entrada para atividades cibercriminosas. Nesse ataque, que está acontecendo desde dezembro de 2015, os usuários precisam acessar sites maliciosos que hospedam o Java Script por meio de seus dispositivos móveis. Acessar esses sites no dispositivo móvel permite que o JavaScript baixe outro JavaScript com rotinas de alteração de DNS.

Detectado como JS_JITON, esse JavaScript pode ser baixado se os usuários estão acessando sites comprometidos em seus computadores ou dispositivos móveis. Porém, a sequência de infecção difere dependendo do meio empregado pelos usuários. Por exemplo, o JS_JITON baixa o JS_JITONDNS que infecta apenas os dispositivos móveis e aciona a rotina de alteração de DNS. O JITON só explora a vulnerabilidade se os usuários afetados tiverem modems ZTE.

Figura 1. Número de detecção de JS_JITON (5 de janeiro de 2016 a 4 de abril de 2016)

Figura 2. JavaScripts maliciosos ofuscados em sites legítimos

Procurando nos códigos encontramos menções a fabricantes de roteadores bem conhecidos: D-Link, TP-LINK e ZTE. O TP-LINK é responsável por 28% das vendas de roteadores, tornando-o o principal fabricante de roteadores do 1º trim. de 2015. O D-Link também está incluído entre os 10 principais com uma participação de mercado de 7%. Como eles têm uma participação de mercado significativa, não é surpresa que os cibercriminosos pareçam ter como alvo essas marcas.

Apesar do ataque empregado comprometer sites de certos países da Ásia e Rússia, ele afetou vários países globalmente. Com base nos dados da Smart Protection Network, os principais países afetados são Taiwan, Japão, China, Estados Unidos e França. Os fabricantes do D-Link e TP-Link são de marcas de Tawain e da China respectivamente e esse pode ser o fator da grande porcentagem dos usuários afetados.

Figura 3. 10 principais países afetados pelo JS_JITON nos últimos 3 meses

Os cibercriminosos por trás desse incidente empregam mecanismos evasivos para não serem vistos e continuar seus ataques sem levantar nenhuma suspeita por parte dos usuários afetados. Essas táticas incluem uma atualização regular dos códigos JavaScript para corrigir erros e alterar constantemente os roteadores domésticos alvos. Os sites comprometidos são difíceis de serem identificados devido a falta de um comportamento suspeito. Também observamos durante nossa investigação que ele tem uma função keylogging que permite que essa ameaça colete o conteúdo digitado nos sites específicos. Mas, nesse momento, essa função já foi removida.

Investigando o código

Esses JavaScripts maliciosos contêm mais de 1.400 combinações de informações de login. Usando essas listas de senhas normalmente usadas, as configurações de DNS de roteadores domésticos podem ser sobrescritas. Porém, a maioria das listas foram excluídas, significando que não funcionam adequadamente. Assim, os roteadores domésticos podem ser limitados. Existem códigos dentro de alguns scripts que podem ser sobrescrever as configurações de DNS por meio da vulnerabilidade CVE-2014-2321 que existe no ZTE. Quando explorada com sucesso, os agressores podem enviar remotamente quaisquer comandos arbitrários com privilégios de administrador.

Deve-se notar que essas configurações de DNS podem ser sobrescritas apenas quando os usuários acessam os sites comprometidos em seus dispositivos móveis. Além disso, os códigos são excluídos e não são rodam adequadamente quando executados. Embora não saibamos exatamente a motivação por trás da adição desses recursos, podemos supor que é por causa da proliferação e aumento do uso de dispositivos móveis. Também existe a possibilidade desses recursos estarem sendo usados como teste pois os scripts são atualizados regularmente.

Figura 4: Lista de IDs e senhas de login

Figura 5. Parte dos scripts que modificam as configurações de DNS através da vulnerabilidade CVE-2014-2321

Conscientização é fundamental na era da digitalização

Ameaças contra roteadores domésticos provavelmente irão proliferar, especialmente era da digitalização de dispositivos. Apesar da IoT ter seus benefícios, também apresenta risco à privacidade e segurança do usuário de roteadores domésticos. Nesse caso vimos como os agressores se aproveitaram de lacunas de segurança que podem levar ao roubo de informações.

Os usuários podem se armar contra esses riscos tomando as seguintes medidas de segurança:
Mantenha firmware, como roteadores, atualizados com as correções mais recentes
Evite usar senhas e IDs padrão

Muitas vezes, as pessoas pensam que não é importante manter o firmware atualizado. Especialmente os dispositivos administrativos na era da IoT são vulneráveis a ataques, que podem apresentar riscos tanto para a privacidade como para a segurança. É melhor saber como esses dispositivos inteligentes funcionam e que tipo de informações pessoalmente identificáveis eles coletam. Saber como proteger os dispositivos inteligentes e que tipos de riscos de segurança seu uso pode ocasionar são alguns dos meios de proteger você e seus dados contra ameaças como o JITON.

As soluções para endpoint da Trend Micro como os Trend Micro Security, Smart Protection Suites e Worry-Free Business Security podem proteger os usuários e empresas contra essa ameaça bloqueando todas as URLs maliciosas relacionadas a ela e detectando os arquivos maliciosos. Os Trend Micro Mobile Security Personal Edition e Mobile Security Solutions também bloqueiam todas as URLs maliciosas usadas nesse ataque.

Indicadores de Comprometimento