Por Fernando Mercês
Os roteadores usados em residências podem ser usados para roubar credenciais e a maioria das pessoas ainda não sabe disso. Os criminosos encontraram formas de usar o malware alterador de Sistema de Nome de Domínios (DNS) para transformar o mais imperceptível roteador de rede em uma ferramenta vital para seus golpes.
Os ataques que usam o malware alterador de DNS não são novos, mas é a primeira vez que vemos este malware afetando roteadores. (Nós já sabemos que roteadores, às vezes, vêm com configurações de servidor DNS malicioso). Nesse cenário, o malware é usado para adulterar o roteador e suas configurações de DNS. Se os usuários tentarem visitar sites bancários legítimos ou outras páginas definidas pelos bandidos, o malware os redireciona para versões maliciosas das tais páginas. Isso permitiria que os cibercriminosos roubem credenciais de contas, números PIN, senhas e outros dados dos usuários.
Temos visto um crescente número de sites ligados a esse golpe no Brasil (quase 88% de todas as infecções), Estados Unidos e Japão. Esses sites executam um script no navegador que realiza um ataque de força bruta contra o roteador da vítima, a partir da rede interna. Com acesso à interface de administrador, através das credenciais certas, o script envia uma única solicitação de HTTP para o roteador com um endereço IP de servidor DNS malicioso. Depois que a versão maliciosa substitui o endereço IP atual, a infecção está feita. Exceto os arquivos temporários de navegação, nenhum arquivo é criado na máquina da vítima, não é necessária nenhuma técnica persistente e nada muda.
As configurações modificadas de DNS significam que os usuários não sabem que estão navegando em clones de sites confiáveis. Os usuários que não mudam as credenciais padrão estão muito vulneráveis a esse tipo de ataque.
Ataques de força bruta possíveis com malware de roteador DNS
DNS é o padrão da Internet para designação de endereços IP e nomes de domínio. Ele age como uma lista telefônica que traduz nomes de host em formato compreensível para as pessoas em endereços IP na linguagem do PC. Os cibercriminosos criam malware alterador de DNS para modificar as configurações de DNS de um sistema. Nós já falamos sobre o malware alterador de DNS em 2014, quando o malware em questão infectou mais de 4 milhões de computadores usados como bots Esthost. Nós fizemos parte da derrubada desse botnet na Operação Ghost Click.
Os usuários da Internet normalmente consideram o DNS como uma coisa certa porque geralmente são atribuídos por seus ISPs. E como o DNS normalmente funciona como o esperado, não haveria motivo para suspeitar que não esteja.
As configurações de DNS funcionam como placas de sinalização que direcionam seu navegador para onde ir. No caso de uma infecção por malware alterador de DNS, as “placas” podem ter sido mudadas sem você notar. Mesmo que você siga as práticas de segurança adequadas – como digitar a URL correta de seu site bancário, fazer login usando sua senha super segura e saindo depois de terminado – se o malware fizer sutilmente o redirecionamento antes de sua transação, seus dados podem ter sido roubados.
Apesar desse tipo de malware não ser novo, temos visto um número crescente de links em ataques de phishing no Brasil. Esses links são usados como pontos de entrada de um script, que detectamos como HTML_DNSCHA, que realiza um ataque de força bruta contra o roteador a partir da rede interna. Isso quer dizer que, quando o navegador dos usuários executa o script malicioso, a partir do ponto de vista da rede, um administrador veria essa solicitação de mudança de DNS como sendo da máquina do usuário para o roteador, uma forma de tráfego interno. Portanto, os administradores procurando por ataques externos no firewall/registros no roteador não encontrariam nada.
Ataques de força bruta ainda podem ter sucesso porque os proprietários dos roteadores muitas vezes não criam senhas para os roteadores, ou usam senhas padrão para marcas populares de roteadores, que estão todas disponíveis online.
Ao adquirir acesso à interface de administrador do roteador, o script envia uma única solicitação HTTP para o roteador com um endereço IP de um servidor DNS malicioso para substituir o atual – é tudo o que é necessário para o cibercriminoso assumir completamente o roteador daí em diante. Fora os arquivos temporários de navegação, nenhum outro arquivo é criado na máquina da vítima, nenhuma técnica persistente é necessária e, no que diz respeito ao usuário, não há nenhuma pista de alguma coisa ter mudado.
De fato, a vítima ainda poderá navegar em qualquer site de sua escolha, como faria normalmente. Porém, quando a vítima tenta acessar um site de interesse do cibercriminoso, por exemplo um site bancário, a vítima na verdade vê um clone do site original, cuidadosamente elaborado para coletar suas credenciais de usuário.
Não é preciso dizer que os usuários que não mudam as credenciais padrão de seus roteadores estão muito vulneráveis a esse tipo de ataque.
Um dos exemplos que estudamos captura o endereço IP externo da vítima. A parte do código fonte que faz isso é mostrado na captura de tela abaixo:
O script tenta adivinhar o endereço IP do roteador e as credenciais de administração. Modelos diferentes de dispositivos são suportados por um único script. O mesmo exemplo tem como alvo os roteadores D-Link e TPLINK ADSL, que são muito comuns no Brasil. A imagem seguinte mostra o código fonte responsável pela parte da força bruta:
O script tenta se conectar ao roteador usando endereços IP classes A e C e também o IP externo (público) É fácil ver que esse tipo de ataque se aproveita das configurações padrão do roteador.
Perfis das Vítimas
Como já mencionado, a maioria desses roteadores afetados por essa ameaça estão localizados no Brasil. Os dados abaixo são os números de URLs redirecionadas por servidores DNS.
Alguns dos sites redirecionados que notamos são adaptados para dispositivos móveis. Isso significa que, depois que suas configurações de DNS mudaram, todos os dispositivos na rede do roteador são expostos a esse ataque, inclusive os dispositivos móveis.
O ataque pode não se limitar apenas a fraude bancária online. Esse tipo de ataque se torna especialmente perigoso para a Internet das Coisas (IoT) ou para dispositivos inteligentes, já que os cibercriminosos podem facilmente infectar nomes de DNS de sites de autenticação/feedback usados por esses dispositivos para roubar as credenciais dos usuários.
Recomendações
Para prevenir esse ataque e outros centrados no roteador, recomendamos fortemente que os usuários sigam esses passos na configuração de seu roteador:
- Use senhas fortes em todas as contas de usuário.
- Use um endereço IP diferente do padrão.
- Desabilite funções de administração remotas.
Uma boa ideia é periodicamente verificar as configurações DNS do roteador e prestar atenção aos sites visitados que solicitam credenciais, como fornecedores de email, banco online, etc. Todos devem mostrar um certificado SSL válido. Outra ação preventiva útil é instalar extensões no navegador que podem bloquear scripts antes que sejam executados no navegador do usuário, como o NoScript.
Para os investigadores e administradores de rede, eu escrevi um shell script Unix que pode ser configurado com uma lista de domínios bem conhecidos (de fornecedores de email, banco online, etc.) e deve receber um endereço de servidor DNS suspeito ou que use o servidor DNS padrão do sistema. O script faz uma solicitação de consulta a um servidor DNS público (de propriedadde do Google) e uma outra ao servidor DNS suspeito, comparando as respostas. Se elas forem diferentes, pode indicar que o servidor DNS suspeito selecionado é mesmo malicioso.
Hashes relacionadas (HTML_DNSCHA.SM):
- b7f2d91a1206b9325463e7970da32a0006a3ead5
- 92b62f4a5bcf39e2b164fb5088b5868f54fa37b0
- 48dbea87e50215504d3f5b49f29ecc4f284c6799
- af6398ea2ade1ec6d3b3f45667f774008593a59f
- 07a97f34b73c4525c65dabe1de15340e31d3353a
- 86363fcf087c5d5a6830b7c398a73ea3fa4ee961
- 62a2f5f5c6dd075c2dc3c744273fc8689e2e1e5f
- 321f4ba49d978c7d2af97b2dc7aab8b40c40d36e
Servidores DNS maliciosos:
- 176.119.37.193
- 176.119.49.210
- 52.8.68.249
- 52.8.85.139
- 64.186.146.68
- 64.186.158.42
- 192.99.111.84
- 46.161.41.146