Um novo ataque de malware tem como alvo roteadores domésticos explorando uma página web ligada à COVID-19. Mais de 1000 usuários afetados em dois dias, os malwares com tema de Coronavírus quintuplicaram no mês de Março: os conselhos para se defender.
Pesquisadores daBitdefenderidentificaram recentemente um novo ataque que visa roteadores domésticos e modifica as suas configurações de DNS. Os hackers atacam com ataques deforça brutaas credenciais de gerenciamento remoto de roteadoresLinksys para alterar as configurações de DNS eredirecionam os usuários para uma página da web ligada à COVID-19 que distribui malware(Oski inforstealer). Para ocultar o link do repositório Bitbucket que hospeda o malware, é usado o serviço TinyURL.
O ataque é novo, começou em 18 de março e abusa de um serviço de encurtamento de URL para mascarar o link do payload, além de usar o Bitbucket (repositório de código legítimo) para hospedar os payloads maliciosos.
“A COVID-19, infelizmente, é um tema recorrente que os cibercriminosos estão a abusar para prender vítimas”, declarou Liviu Arsene, Senior Cybersecurity Researcher da Bitdefender. “Os relatos de malware com tema de coronavírustriplicaram em marçocom agressores sem escrúpulos a usar golpes de phishing que exploram informações incorretas sobre o Coronavírus e o medo pela escassez de suprimentos médicos.”
Como funciona o ataque de malware Coronavírus
Não é raro que hackers usem notícias de grande interesse para a população, como a pandemia em curso, para chamar a atenção dos usuários e enviar e-mails de phishing com anexos infectados; este tipo recente de ataque que envolve roteadores domésticos confirma a tendência.
Os agressores sondaram a internet em busca de roteadores vulneráveis, conseguindo violá-los – potencialmente através de ataques de força bruta de senhas – e modificando as suas configurações de IP DNS. As configurações de DNS são muito importantes, pois funcionam como uma lista telefônica. Sempre que os usuários digitam o nome de um site, os serviços de DNS podem enviá-los para o endereço IP correspondente que serve esse nome de domínio específico. Em suma, o DNS funciona mais ou menos como a agenda de um smartphone: sempre que desejar ligar para alguém, basta procurar o nome em vez de ter que memorizar o número de telefone.
Uma vez que os hackers alteram os endereços IP DNS, eles podem redirecionar os usuários para páginas web controladas diretamente por eles, sem que ninguém perceba.
Abaixo está uma lista de alguns dos domínios que são redirecionados:
- “aws.amazon.com”
- “goo.gl”
- “bit.ly”
- “washington.edu”
- “imageshack.us”
- “ufl.edu”
- “disney.com”
Quando se tenta aceder a um dos domínios acima, os usuários são de facto redirecionados para um endereço IP, que exibe uma mensagem aparentemente da Organização Mundial da Saúde, pedindo aos usuários para descarregar e instalar uma aplicação que oferece instruções e informações sobre a COVID-19.
Em detalhe, os payloads maliciosos são entregues através doBitbucket, o popular serviço de hospedagem baseado na web para projetos que usam sistemas de controle de versão. Para garantir que a vítima não suspeite que se trata de um crime, os hackers também abusam do TinyURL, o popular serviço web de encurtamento de URLs, para ocultar o link para o payload do Bitbucket. O interessante é que os usuários acreditam ter chegado a uma página web legítima, se não fosse pelo facto de ser servida por um endereço IP diferente.
Quais usuários são afetados pelo malware Coronavírus
O número atual de potenciais vítimas nos últimos dois dias é estimado em cerca de 1.193, a julgar pelo número cumulativo de downloads dos repositórios Bitbucket encontrados ainda ativos.
Pesquisadores da Bitdefender também descobriram que os principais países afetados são França, Alemanha e Estados Unidos, que representam mais de 73% do total. Itália e Espanha podem estar incluídas, pois o Bitbucket já bloqueou dois repositórios, tornando impossível ter um quadro completo do número de vítimas.
Como se defender do malware Coronavírus
Além de alterar as credenciais de login para o painel de controle do roteador, recomenda-se aos usuários que alterem as credenciais da conta cloud Linksys, ou de qualquer conta de gerenciamento remoto dos seus roteadores, para evitar qualquer aquisição através de ataques que utilizam o método “força bruta” ou credential stuffing.
Também se recomenda garantir que o firmware do roteador esteja sempre atualizado, pois isso impede que os hackers explorem vulnerabilidades ainda não identificadas para se apossarem do dispositivo. Finalmente, é importante garantir que todos os dispositivos tenham uma solução de segurança instalada que impeça o acesso a sites de phishing ou fraudulentos e o download e instalação de malware.
Pubblicato in Guias e tutoriais
Seja o primeiro a comentar