Em agosto deste ano divulgamos uma campanha direcionada aos usuários brasileiros e que explorava uma vulnerabilidade em roteadores D-Link para sequestrar o tráfego e redirecionar as vítimas para sites falsos de dois bancos bem conhecidos. Desta vez, a notícia é que, de acordo com informações divulgadas pela Netlab 360, novos dados sobre essa campanha indicam a atuação de outros cibercriminosos por trás desta campanha.

De acordo com dados recentes, agora o número de modelos de roteadores/firmware atacados supera a marca de mais de 70, contabilizando cerca de 100.000 roteadores de uso doméstico que foram controlados por cibercriminosos para redirecionar o tráfego de rede. Entre eles, existem alguns modelos de marcas como D-Link, TP-Link, Kaiomy, Huawei, Tenda, Ralink e MikroTik.

O Brasil continua sendo o país mais atingindo por essa campanha com cerca de 91.605 roteadores de uso doméstico afetados (equivalente a 88% dos dispositivos), seguido pela Bolívia com 7.644 e pela Argentina com 2.581, entre os três principais países atingidos pelo ataque.

Além disso, atualmente existem mais de 50 domínios que tiveram suas identidades roubadas e a maioria envolvem bancos conhecidos que funcionam nos países afetados.

O que ocorre é que os cibercriminosos rastream o espaço IP do Brasil em busca de roteadores que tenham senhas fracas para acessá-los e substituir a configuração DNS legítima com endereços IP de servidores DNS que estão sob seu controle. Com essas mudanças, eles redirecionam as consultas DNS que passam através dos dispositivos atacados ao servidor DNS comprometido, que contém uma lista de 52 páginas de phishing à espera de chamadas para se passarem por sites legítimos (principalmente bancos) e roubar credenciais de acesso das vítimas. Além de instituições financeiras, estão incluídos serviços de hosting ou sites de streaming, como o Netflix, entre outros.

Para realizar o ataque, os cibercriminosos por trás desta campanha utilizam três módulos de código com o objetivo de afetar diferentes roteadores e firmware: um escrito em Shell, outro em JavaScript e um terceiro em uma combinação de Phyton com PHP. O último foi implantado, na maioria dos casos, em servidores Cloud do Google, desde onde os cibercriminosos estão constantemente pesquisando na Internet por roteadores vulneráveis. Além disso, este módulo usa 69 scripts que podem realizar ataques de força bruta com a senha de 47 tipos de roteadores e pacotes de firmware.

Algumas das instituições financeiras que tiveram suas identidades roubadas foram: Bradesco, Itaú, Banco do Brasil, Caixa ou Citibank, entre outras. É importante ressaltar que não é uma vulnerabilidade ou falha nos sites dessas instituições, mas sim uma vulnerabilidade explorada em roteadores de uso doméstico. Por outro lado, a empresa Netlab 360 comunicou o incidente para vários provedores de Internet, assim como o Google, e a maioria desses sites falsos já não estão mais ativos.