GhostDNS: Ainda não sabe se o seu roteador foi infectado?

GhostDNS: Ainda não sabe se o seu roteador foi infectado?

GhostDNS: Ainda não sabe se o seu roteador foi infectado?

Encontrado em mais de 70 modelos, incluindo marcas como TP-Link, D-Link, Intelbras, Multilaser e Huawei, entre outras, o Ghost DNS já foi responsável pela infecção total de 87 mil dispositivos, sendo a maioria aqui no Brasil.

O GhostDNS realiza um ataque conhecido como DNSchange, porém de uma forma muito mais avançada. De uma forma geral, este golpe tenta adivinhar a senha do roteador na página de configuração web usando identificações definidas por padrão pelas fabricantes, como admin/admin, root/root, etc. Outra maneira é pular a autenticação explorando dnscfg.cgi. Com acesso às configurações do roteador, o malware altera o endereço DNS padrão – que traduz URLs de sites desejáveis, como os de bancos – para IPs de sites mal-intencionados.

Com mais de 100 scripts de ataque, o GhostDNS ainda conta com outros módulos estruturais no GhostDNS, além do DNSChanger. O primeiro é o servidor DNS Rouge, que sequestra os domínios de bancos, serviços na nuvem e outros sites com credenciais interessantes para os criminosos. O segundo é o sistema de phishing na web, que pega os endereços de IP dos domínios roubados e faz a interação com as vítimas por meio de sites falsos.

Fluxograma do ataque promovido pelo GhostDNS a roteadores — Foto: Reprodução/Netlab at 360

Quais modelos foram infectados?

Os roteadores afetados foram infectados por diferentes módulos DNSChanger. No Shell DNSChanger, os seguintes modelos foram identificados:

  • 3COM OCR-812
  • AP-ROUTER
  • D-LINK
  • D-LINK DSL-2640T
  • D-LINK DSL-2740R
  • D-LINK DSL-500
  • D-LINK DSL-500G/DSL-502G
  • Huawei SmartAX MT880a
  • Intelbras WRN240-1
  • Kaiomy Router
  • MikroTiK Routers
  • OIWTECH OIW-2415CPE
  • Ralink Routers
  • SpeedStream
  • SpeedTouch
  • Tenda
  • TP-LINK TD-W8901G/TD-W8961ND/TD-8816
  • TP-LINK TD-W8960N
  • TP-LINK TL-WR740N
  • TRIZ TZ5500E/VIKING
  • VIKING/DSLINK 200 U/E
  • A-Link WL54AP3 / WL54AP2
  • D-Link DIR-905L
  • Roteador GWR-120
  • Secutech RiS Firmware
  • SMARTGATE
  • TP-Link TL-WR841N / TL-WR841ND
  • AirRouter AirOS
  • Antena PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Roteador PNRT150M
  • Roteador Wireless N 300Mbps
  • Roteador WRN150
  • Roteador WRN342
  • Sapido RB-1830
  • TECHNIC LAN WAR-54GS
  • Tenda Wireless-N Broadband Router
  • Thomson
  • TP-Link Archer C7
  • TP-Link TL-WR1043ND
  • TP-Link TL-WR720N
  • TP-Link TL-WR740N
  • TP-Link TL-WR749N
  • TP-Link TL-WR840N
  • TP-Link TL-WR841N
  • TP-Link TL-WR845N
  • TP-Link TL-WR849N
  • TP-Link TL-WR941ND
  • Wive-NG routers firmware
  • ZXHN H208N
  • Zyxel VMG3312
Como se proteger?

Imediatamente, mude sua senha de admin no dispositivo, especialmente se você usa password default do fabricante ou considera que sua senha é fraca. Recomenda-se também atualizar o firmware do produto, além de verificar nas configurações se o DNS foi alterado.

Fonte: Netlab 360/techtudo.


Cadastre-se em nossa Newsletter

XBASH: Servidores Linux e Windows são o alvo desse novo ransomware.

XBASH: Servidores Linux e Windows são o alvo desse novo ransomware.

XBASH: Servidores Linux e Windows são o alvo desse novo ransomware.

Descoberto pela Unit42 da Palo Alto Networks, equipe de especialistas e laboratório de inteligência contra o cibercrime, o XBASH possui recursos de ransomware e de mineração de moedas, recursos de autopropagação (ex: WannaCry ou Petya / NotPetya), além de  recursos ainda não implementados que podem permitir sua rápida propagação dentro da rede de uma organização, exatamente como o WannaCry ou o Petya / NotPetya.

Basicamente, o ransomware se aproveita de senhas fracas e vulnerabilidades não corrigidas.

As organizações podem se proteger contra o Xbash por:

  1. Usando senhas fortes e não padrão;
  2. Mantendo-se atualizado sobre atualizações de segurança;
  3. Implementando a segurança do terminal nos sistemas Microsoft Windows e Linux;
  4. Impedindo o acesso a hosts desconhecidos na Internet (para impedir o acesso a servidores de comando e controle “command and control”);
  5. Implementar e manter processos e procedimentos de backup e restauração rigorosos e eficazes.

Maiores informações podem ser obtidas diretamente no post da Unit42, pelo link: bit.ly/xbash-unit42.

Fonte: Unit42 Blog/CiberSecurity.


Cadastre-se em nossa Newsletter

Vulnerabilidades MikroTik – Atualizações

Vulnerabilidades MikroTik – Atualizações

ATUALIZAÇÃO: Vulnerabilidades MikroTik.

 

Aumentou para quase 20% o número de roteadores Mikrotik capturados numa botnet formada para a mineração da criptomoeda Monero, recentemente descoberta pela Trustwave. E até este domingo (05/08), o número de roteadores Mikrotik a serviço da botnet no mundo inteiro subiu de 72.187 para 85.499, ou seja, 92 dispositivos por hora.

Curiosamente, a maior parte dos dispositivos contaminados está instalada no Brasil, com um total de 81.140 hoje contra 71.011 no dia 31/07, data da descoberta. Um dos roteadores capturados atende o servidor web de um hospital, cuja identidade não foi revelada pelo pesquisador da Trustwave.

Em detalhes: A botnet está contaminada com o malware Coinhive, responsável pela escravização de dispositivos, visando utilizá-los na mineração da criptomoeda Monero. Até este último update, ainda não se sabe quem está por trás desta botnet. A única certeza, é que ela tem o objetivo de favorecer esta atividade de mineração, que consome recursos de computação e também energia elétrica.

A lógica dos criminosos, é de que quanto mais máquinas fazendo mineração, maiores as probabilidades de lucro para quem controla a rede.



Cadastre-se em nossa Newsletter

Você sabe quais são os dez tipos de phishing mais comuns?

Você sabe quais são os dez tipos de phishing mais comuns?

Conheça quais são os dez tipos de phishing mais comuns e entenda porque eles nunca saem de moda.

 

O phishing é e continuará sendo um dos principais vetores de ataque para roubo e sequestro de dados. Isso se deve porque sua estratégia de criação é rápida e permite não só o emprego de técnicas sofisticadas de cibercrime, como também pode “surfar” na onda de eventos políticos, sociais e etc.

Empresas e usuários estão cada vez mais na mira dos atacantes. E para as organizações, é necessário acompanhar a evolução das tecnologias de proteção contra o cibercrime. Já os usuários, devem ficar atentos pois qualquer descuido, pode ser crucial para o sucesso destes criminosos. Conheça abaixo os dez tipos de phishing mais comuns:

Falsos e-mails ou mensagens

O tipo mais comum. Quer um exemplo prático? O usuário recebe uma mensagem dizendo que seus dados precisam ser atualizados, pois a conta bancária pode ser desativada, e muitas pessoas acabam caindo pois os hackers enviam e-mails que parecem ser de empresas reais, como bancos. Sua ação principal é fazer com que o usuário clique em um link, este que leva a um endereço fraudulento. Veja abaixo um tipo de golpe aplicado pelo WhatsApp.

Foto: Thássius Veloso/TechTudo.

Phishing do Dropbox

Possui uma conta no Dropbox? Preste atenção pois seu armazenamento de arquivos importantes e particulares por lá pode ser comprometido, pois os criminosos usam falsos endereços que parecem vir do serviço de storage, que o levará a fazer login em um site fraudulento.

Ataque aos arquivos do Google Docs

Não só usuários comuns, mas também empresas passaram a armazenar documentos importantes no Google Drive. E isso tem feito com que os cibercriminosos também mirem esta plataforma.
O plano é basicamente o mesmo do phishing do Dropbox: um falso e-mail que parece ser da equipe do Google pede para que o usuário clique em um link falso.

Empresa grande? O prêmio e o peixe são ainda maiores!

Quando o assunto é atingir corporações, os criminosos visam atacar com phishing primeiro aqueles que ocupam os cargos mais altos. E quando conseguem ter acesso a esses e-mails, logo várias mensagens são espalhadas, solicitando arquivos importantes aos colaboradores, que respondem prontamente aos seus superiores. E em questão de minutos, boom!! Os atacantes já conseguiram acessar informações confidenciais da empresa, e além do roubo de dados, podem acontecer perdas financeiras.

Phishing por ransomware

O ransomware está em alta, e com forte tendência em se consolidar como um dos mais poderosos vetores de ataque atualmente. Com variantes muito mais danosas que o trivial “sequestro” de dados, alguns atacantes podem até destruir remotamente partes da infraestrutura, caso o cliente se negue a pagar o resgate.

No ransomware, o usuário também recebe um link fraudulento mas, em vez de ser redirecionado a um site falso, ele acaba instalando um malware no computador. O objetivo não é exatamente roubar apenas as informações, mas também tornar todos os dispositivos  infectados, indisponíveis para uso. E para ter acesso a todos seus arquivos novamente, é preciso pagar por um resgate aos criminosos.

Confira um divertido vídeo sobre ransomware, com oferecimento de nosso parceiro WatchGuard:

 

Pharming

Uma variante muito perigosa de phishing, pois ele ataca o servidor DNS, principalmente de empresas. O ataque pode ser ou com a instalação de um cavalo de troia em algum computador host ou diretamente na rede. A partir daí, qualquer endereço de site, mesmo que pareça confiável, pode levar a páginas fraudulentas sem que o usuário desconfie. Assim, os hackers conseguem coletar informações de várias pessoas ao mesmo tempo.

 

Bitcoins

Com as criptomoedas em alta, os cibercriminosos logo perceberam que seria um interessante meio de aplicação de golpes por phishing. Os hackers têm utilizado truques como sites disfarçados de serviços de câmbio ou e-mails com oportunidade de compra que são tentadoras, mas totalmente falsas.

Spear Phishing

Esse tipo de golpe visa atingir um número menor de pessoas, mas a chance de sucesso termina sendo maior. São enviadas a poucas pessoas mensagens personalizadas, com informações bem convincentes, como nome, sobrenome e outros dados, que levam o usuário a acreditar que está recebendo um e-mail legítimo de alguém familiar. Os golpistas podem até falsificar endereços de sites conhecidos, o que dificulta perceber que está se caindo em um golpe.

Smishing SMS

O alvo aqui são exclusivamente os celulares. O smishing é um tipo de phishing que chega por mensagens de texto supostamente enviadas por empresas conhecidas que oferecem prêmios que não existem. Como das outras formas de golpe, a pessoa clica em algum link malicioso e é induzida a digitar dados pessoais, incluindo número do cartão de crédito.

“Vishing” ou Voice Phishing?

Aqui, mais uma vez, o telefone, móvel ou fixo, é a forma usada para atacar as vítimas, Os criminosos criam uma mensagem automática e fazem repetidas ligações para vários números diferentes. Mais uma vez, sob o pretexto de serem empresas (e principalmente bancos), persuadem as pessoas a digitarem ou informarem dados pessoais.

Fonte: techtudo.


Cadastre-se em nossa Newsletter

VPNFilter – Atualizações e comunicados do Ministério Público.

VPNFilter – Atualizações e comunicados do Ministério Público.

Em comunicado, Ministério Público reforça pedido para que todos brasileiros reiniciem os seus roteadores.

 

Há oito meses, o Ministério Público do Distrito Federal e Territórios (MPDFT), em parceria com a Polícia Civil do Distrito Federal (PCDF), vem investigando fraudes cometidas com o uso de roteadores infectados.

Em comunicado, o departamento de comunicação do MPDFT, informa.

A Comissão de Proteção dos Dados Pessoais do Ministério Público do DF e Territórios (MPDFT) alerta que os roteadores domésticos e de home office estão sob risco de infecção pelo malware VPNFilter. Para ajudar a combater o vírus, todos os proprietários brasileiros devem reiniciar os aparelhos para interromper temporariamente o vírus e ajudar na identificação potencial de roteadores infectados.

O MPDFT recomenda, ainda, a desativação das configurações de gerenciamento remoto e o uso de senhas fortes. Também é importante atualizar o software (firmware) do roteador. Os aparelhos infectados podem coletar dados pessoais, bloquear o tráfego de internet e direcionar os usuários para sites falsos de instituições bancárias e de e-commerce. O objetivo é cometer fraudes.”

Acesse aqui maiores informações sobre o procedimento de investigação criminal do MPDFT.

Fonte: Ministério Público do Distrito Federal e Territórios.


Cadastre-se em nossa Newsletter