A Kaspersky encontrou um ataque interessante feito por cibercriminosos brasileiros. O objetivo primário do ataque é alterar as configurações DNS de roteadores domésticos através de uma página web, usando um pouco de engenharia social e scripts maliciosos. Nesses ataques os servidores DNS configurados no dispositivo atacado irão redicionar a navegação da vítima para sites falsos de bancos brasileiros, programados para roubar credenciais.

Ataques em dispositivos de rede não são novidades, em 2011 a pesquisa Marta Janus descreveu em detalhes malware criados para infectar esses dispositivos. Documentamos uma série de ataques em 2011-2012 no Brasil onde mais de 4,5 milhão de modems ADSL foram comprometidos remotamente, onde foi explorada uma falha remota que permitia a alteração da senha do aparelho e da configuração DNS. Mas esse ataque encontrado dessa vez é novo entre cibercriminosos brasileiros, e acreditamos que ele pode escalar rapidamente conforme aumenta o número de vítimas.

O ataque se inicia com um e-mail malicioso oferecendo supostas fotos de uma traição:

Quantas pessoas ainda acreditam nessas mensagens? Bem, foram mais de 3.300 clicks em 3 dias, a maioria dos usuários do Brasil, Estados Unidos e China:

O site para onde aponta a mensagem traz fotos de conteúdo adulto. Enquanto o acessa, vários scripts são executados em segundo plano. Dependendo da configuração do seu roteador, em algum momento pode aparecer uma mensagem pedindo a senha de acesso ao seu roteador – caso essa caixa apareça, acredite, isso é uma boa coisa. Se não aparecer, talvez você tenha problemas futuros:

Os scripts localizados no site tentam através de diversos redirecionamentos advinhar a senha do seu roteador. Ele tenta diversas combinações, que geralmente são as senhas padrões com a qual os dispositivos são configurados. A primeira tentativa é “admin:admin”: 

Ou “root:root” 

Ou ainda “admin:gvt12345” (provavelmente usada na rede da GVT)

O script irá continuar a tentar todas as combinações até o ponto em que tentará acessar o painel de controle do roteador, através das URLs [seu-IP].dnscfg.cgi?. Caso ele tenha sucesso, ele irá em seguida alterar os servidores DNS primário e secundário. Se você está usando as senhas padrões do seu modem você nem se dará conta do ataque, que é feito de maneira silenciosa. Por fim o script irá forçar um reboot do dispositivo acessando [seu-IP].rebootinfo.cgi.

Se você tem senhas diferentes configuradas no roteador, então irá aparecer essa janela, pedindo para que você informe a senha do dispositivo manualmente:

Nós encontramos nesse ataque 5 domínios sendo usados maliciosamente, todos eles com esses scripts maliciosos inseridos. Encontramos ainda 9 servidores DNS maliciosos, todos eles oferecendo páginas de phishing dos maiores bancos brasileiros. O acesso aos servidores é filtrado pelos criminosos, impedindo que um IP faça diversos acessos simultâneos, filtrando através de HTTP referrer, tentando assim impedir o acesso de analistas de segurança que possam querer analisar seu conteúdo.

Como proteger-se desse ataque? Certifique-se de seu roteador/modem doméstico não esteja configurado com as senhas de fábrica, configurando outras senhas nos dispositivos. Além disso NUNCA informe essa senha caso algum website venha solicitá-la. Plugins de browser como o NoScript também ajudam a bloquear.

Nossos usuários do Kaspersky Internet Security também estão protegidos automaticamente contra tais ataques.

Fonte: http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/2014/pagina-web-maliciosa-ataca-roteadores