Brasil,

TOKIO MARINE SEGURADORA

Avast analisa código-fonte do kit de exploração GhostDNS usado para atacar roteadores no Brasil

Kit de exploração, conhecido por roubar informações de cartões de crédito e credenciais de login, está configurado para escanear dezenas de milhares de endereços IP no Brasil, EUA e México, em busca de portas abertas.
A Avast (LSE: AVST), líder global em produtos de segurança e privacidade digital, obteve acesso e analisou o código-fonte do kit de exploração GhostDNS. Este kit de exploração foi usado para infectar roteadores de brasileiros e realizar ataques de CSRF (falsificação de solicitação entre sites), para alterar as configurações de DNS de roteadores, direcionando os usuários para sites de phishing com o intuito de roubar credenciais de login e informações de cartões de crédito enviadas aos sites fraudulentos. A análise mostra que o kit de exploração foi projetado para escanear dezenas de milhares de endereços IP em busca de portas abertas, que permitam aos cibercriminosos invadir os dispositivos no Brasil, EUA e México, porém, por fim, infectando especificamente os roteadores com endereços IP brasileiros. Um olhar mais atento do código-fonte mostrou que, os invasores também podem alterar as credenciais de login do roteador infectado para credenciais predefinidas.
A Avast obteve acesso ao código-fonte quando o Avast Módulo Internet, incluído em todas as versões do Avast Antivírus, bloqueou um usuário Avast que tentava compartilhar o código-fonte em uma plataforma de compartilhamento de arquivos. O kit de exploração, que em 2018 foi vendido na web por aproximadamente 450 dólares, geralmente é distribuído por malvertising, publicidade maliciosa, mas também pode atacar roteadores pela internet. Primeiro, ele faz uma busca na web por endereços IP abertos e, em seguida, executa um script na tentativa de obter acesso aos roteadores usando credenciais de login padrão ou credenciais utilizadas com frequência. Depois que o kit de exploração obtém o acesso a um roteador via CSRF, ele usa um método de sequestro de DNS para redirecionar os usuários para sites de phishing projetados para parecerem idênticos aos sites que as pessoas realmente estão tentando visitar. Tudo o que o usuário envia pelo site de phishing, por exemplo, credenciais de login ou informações de cartões de crédito, é enviado diretamente ao cibercriminoso.
A análise mostra que uma das versões do kit de exploração foi projetada para digitalizar cerca de 5 bilhões de endereços IP, para identificar portas abertas que pudessem ser exploradas. Destes mais de 50% são de endereços IP do Brasil, mais de 20% dos EUA e mais de 10% localizados no México.
“Uma das descobertas interessantes que tivemos foi que o kit de exploração exclui intencionalmente determinados endereços IP da universidade pública de Campinas (SP, Brasil), a UNICAMP (Universidade Estadual de Campinas), que é membro do Projeto de Honeypots Distribuídos com foco na análise de ameaças direcionadas a dispositivos na internet”, disse Simona Musilová, Analista de Ameaças da Avast. "Acreditamos que os cibercriminosos desejam que o seu kit de exploração permaneça despercebido o maior tempo possível e, portanto, evitando esse intervalo conhecido dos endereços IP".
Incluída no código-fonte, a Avast encontrou uma lista de credenciais de login de roteadores* e o código-fonte de páginas de phishing**, que podem ser usadas para realizar ataques. As páginas de phishing incluíam páginas que imitavam alguns dos maiores bancos do Brasil, Netflix, domínios de hospedagem, sites de notícias e empresas de viagens.
"Até onde sabemos, somos os primeiros a analisar o código-fonte do kit de exploração GhostDNS, que é comumente utilizado para segmentar brasileiros que não alteraram as credenciais de login padrão do roteador ou que usam credenciais fracas. Embora não exista uma campanha ativa no momento, em novembro de 2019, bloqueamos mais de 7.000 tentativas de ataques de CSRF voltados à execução de comandos sem o conhecimento dos usuários, para modificar silenciosamente suas configurações de DNS e realizar ataques. Com base em nossos dados, 76% das credenciais de login dos roteadores no Brasil têm senhas fracas, deixando-os vulneráveis a ataques de CSRF”, diz Musilová.
As pessoas podem descobrir se o roteador está infectado usando o recurso Avast Verificador de Wi-Fi, que faz parte tanto da versão gratuita quanto de todas as versões pagas do Avast Antivírus, que incluem também o Avast Módulo Internet, um escudo que protege os usuários contra os ataques de CSRF.
A análise completa do código-fonte do GhostDNS, que a Avast analisou, pode ser encontrada aqui.
* Credenciais de login que o kit de exploração usa para tentar obter acesso aos roteadores:
  • :
  • :admin
  • :root
  • ACESSO:@@ACESSO##POINT#@
  • admin2:admin2
  • admin:
  • Admin:
  • admin:1
  • admin:123
  • admin:1234
  • admin:123456
  • admin:1234567890
  • admin:@!JHGFJH15
  • admin:admin
  • Admin:admin
  • Admin:Admin
  • admin:adsl
  • admin:bigb0ss
  • admin:buildc0de
  • admin:bulld0gg
  • admin:bullyd0gg
  • admin:deadcorp2017
  • admin:deadcp2017
  • admin:deus1010
  • admin:dn5ch4ng3
  • admin:dnschange
  • admin:Gidlinux2019
  • admin:gpnet321
  • admin:gvt12345
  • admin:internet
  • admin:K3LLY2016
  • admin:krug3rpicao
  • admin:m3g4m4ln
  • admin:m3g4m4n
  • admin:megaman
  • admin:megaman2
  • admin:mundo
  • admin:p4dr40
  • admin:passthehash
  • admin:password
  • admin:publ1c0
  • admin:roteador
  • admin:s1m23l
  • admin:saho4001
  • admin:theb0ss
  • admin:thed0gg
  • admin:uhuwCorp
  • admin:Voltage2016
  • admin:zyxel
  • cisco:cisco
  • deadcorp2017:deadcorp2017
  • jordam:jdmadmin
  • megaman:megaman
  • megaman:megaman2
  • provedor:MACAXEIRA
  • provedor:SIERRABRAVO
  • root:
  • root:123
  • root:44acesso22point2014
  • root:admin
  • root:bigb0ss
  • root:buildc0de
  • root:bulld0gg
  • root:bullyd0gg
  • root:deus1010
  • root:Gidlinux2019
  • root:K3LLY2016
  • root:m3g4m4ln
  • root:m3g4m4n
  • root:root
  • root:theb0ss
  • root:thed0gg
  • root:toor
  • root:Voltage2016
  • super:megaman
  • super:super
  • support:bigb0ss
  • support:buildc0de
  • support:bulld0gg
  • support:bullyd0gg
  • support:deus1010
  • support:Gidlinux2019
  • support:K3LLY2016
  • support:m3g4m4ln
  • support:m3g4m4n
  • support:theb0ss
  • support:thed0gg
  • support:Voltage2016
  • T1m4dm:
  • T1m4dm:@T1m@dml1v@
  • T1m4dm:T1m4dm
  • T1m4dm:T1m@dml1v
  • ubnt:ubnt
  • user:
  • user:megaman
  • user:user
** Código-fonte dos sites de phishing criados para se parecerem com as páginas a seguir, foram incluídos no código-fonte do GhostDNS:
  • Banco Bradesco
  • Itau
  • Caixa
  • Santander
  • MercadoPago
  • CrediCard
  • Netflix
  • Flytour Viagens
  • Banco do Brasil
  • Cartao UNI
  • Sicoob
  • Banco Original
  • CitiBank
  • Locaweb
  • MisterMoneyBrazil
  • UOL
  • PayPal
  • LATAM Pass
  • Serasa Experian
  • Sicredi
  • SwitchFly
  • Umbler

Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar