Pesquisa de Ameaças

Brasil: roteadores infectados enviam vítimas a falsos sites de Bancos e da Netflix | Avast

Threat Intelligence Team, 10 Dezembro 2019

Sites estão infectando roteadores e aplicando golpes de phishing que enviam os usuários para falsos sites de Bancos e da Netflix

No final de novembro, a equipe do Laboratório de Ameaças da Avast* descobriu ciberataques cujo alvo eram roteadores de usuários brasileiros. As vítimas eram redirecionadas para páginas com golpes de phishing que eram muito similares os verdadeiros sites que queriam visitar. Nestes ataques em concreto, sites de Bancos, notícias e da Netflix foram os mais utilizados:

  • bradesco.com.br
  • santandernetibe.com.br
  • pagseguro.com.br
  • terra.com.br
  • uol.com.br
  • Netflix.com

Sites bancários e o da Netflix são muitas vezes alvo de cibercriminosos, pois isso lhes permite roubar facilmente valiosas credenciais de login.

Normalmente, este tipo de ataque ao roteador começa quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), distribuída por redes de anunciantes terceirizadas. Neste caso, os usuários eram automaticamente redirecionados para uma das duas páginas que continham as ferramentas capazes de infectar o roteador (GhostDNS Exploit Kit). A infecção é feita sem a interação do usuário, em segundo plano. Em seguida, os roteadores infectados redirecionavam as vítimas para sites muito parecidos aos verdadeiros e aplicavam golpes de phishing.

No dia 25 de novembro, o Módulo Internet dos antivírus Avast bloqueou 5.500 ataques vindos de dois sites maliciosos que queriam infectar o roteador dos nossos usuários e, no dia seguinte, protegemos nossos usuários de mais 1.000 ataques.

bankFalso site do Bradesco que rouba as senhas dos clientes

Nossa equipe analisou a versão falsa do site do Bradesco, para onde as vítimas dos ataques foram redirecionadas ao tentar entrar em sua conta bancária. A barra de endereços mostra que o site não era seguro (um site HTTPS), que aparece sem o símbolo do cadeado. Uma mensagem de erro também informava que o site era inseguro. A maioria dos links no site não fazia o que deveria, mas a página de login funcionava, isto é, a vítima supostamente podia efetuar login em sua conta preenchendo suas credenciais no topo da página.

Como é lógico, o falso site não validava as credenciais de login – nem teria como fazê-lo – e, por isso, só finge registrar automaticamente o usuário em sua conta. O falso site, portanto, captura os nomes de usuários e senhas e, posteriormente, exibe uma mensagem pop-up notificando a vítima que o sistema está temporariamente indisponível e que deveria tentar novamente em alguns minutos. Este site não está mais ativo.

Para evitar esses ataques ao roteador (CSRF ou sequestro de DNS), você deve:

  • Atualizar as credenciais de administrador do seu roteador usando uma senha forte

  • Atualizar o firmware (software) do seu roteador para a versão mais recente. Normalmente você pode encontrar essas atualizações no site do fabricante do seu roteador

  • Alterar suas credenciais de login, especialmente para os seus serviços bancários online, usando senhas fortes

  • Certifique-se de verificar se o site bancário tem um certificado válido, olhando para o cadeado na barra de endereço (URL) do seu navegador

O Módulo Internet está incluído tanto na versão gratuita quanto na premium do Avast Antivírus e protege proativamente os usuários contra esses ataques CSRF ao roteador. O Verificador de Wi-Fi do Avast – presente em todas as versões dos nossos antivírus – também pode avaliar a força da senha do seu roteador, testar a rede para ver se está protegida contra os ataques de sequestro de DNS e mostrar uma lista dos sites que foram sequestrados.

Saiba mais detalhes técnicos sobre este ataque e o GhostDNS Exploit Kit no Decoded, Blog da equipe do Laboratório de Ameaças da Avast*.

* Original em inglês.

Christian Wiediger