Ataque altera DNS de roteadores D-Link e leva a sites falsos de bancos

D-Link é uma das principais fabricantes de roteadores (Foto: Reprodução/ Raquel
Se você tem um roteador D-Link, atenção: a empresa de segurança Ixia reportouataques que modificam as configurações de DNS de alguns equipamentos da marca para levar o usuário a sites falsos de serviços como Gmail, Netflix e Uber. Aparentemente, os ataques visam sobretudo usuários brasileiros: os sites dos principais bancos e serviços de hospedagem web do Brasil também são redirecionados.


Um servidor de DNS tem a função de indicar qual o endereço de um site, basicamente. O que as ataques fazem é mudar as configurações do roteador para um serviço de DNS fraudulento que, como tal, aponta para endereços falsos quando o usuário tenta acessar determinados sites. Milhares de roteadores já foram atingidos.

analista de segurança Troy Mursch disse que o primeiro ataque ocorreu no fim de 2018 e afetou principalmente quatro modelos de modems / roteadores da D-Link:


  • D-Link DSL-2640B
  • D-Link DSL-2740R
  • D-Link DSL-2780B
  • D-Link DSL-526B
Em agosto de 2018, esses mesmos equipamentos foram alvos de um ataque que levava a uma página falsa do Banco do Brasil.
Também houve uma onda de ataques em fevereiro e outra na semana passada. Nessas ações, os equipamentos DSLink 260E e ARG-W4 ADSL foram afetados, o mesmo valendo para roteadores da Secutech e Totolink.
Os autores dos ataques têm usado principalmente a Google Cloud Platform para fazer varreduras em roteadores vulneráveis e enviar a eles códigos com modificações de DNS. De acordo com a Ixia, os endereços modificados são os seguintes:
  • Globais:
    • paypal.com
    • gmail.com
    • uber.com
    • netflix.com
  • Serviços de hospedagens brasileiros:
    • hostgator.com.br
    • kinghost.com.br
    • uolhost.uol.com.br
    • locaweb.com.br
  • Bancos e instituições financeiras brasileiras:
    • caixa.gov.br
    • itau.com.br
    • bb.com.br
    • sicredi.com.br
    • cetelem.com.br
    • bancobrasil.com.br
    • santander.com.br
    • pagseguro.uol.com.br
    • santandernet.com.br
    • bancointer.com.br
    • bradesconetempresa.b.br
    • superdigital.com.br
Alguns dos endereços de DNS fraudulentos já foram derrubados. Além disso, o Google remove aplicações maliciosas da sua plataforma nas nuvens quando recebe denúncias. O problema é que os invasores podem simplesmente lançar novos ataques com outros servidores, por isso, a prevenção continua sendo mandatória.
É importante atualizar o firmware do seu roteador — todos os quatro roteadores D-Link têm updates disponíveis — ou mesmo trocar modelos antigos por atuais. Verificar periodicamente os endereços de DNS e outras configurações do equipamento também é uma boa medida.

Com informações: Ars Technica.

Postagem Anterior Próxima Postagem