Kit de exploração, conhecido por roubar informações de cartões de crédito e credenciais de login, está configurado para escanear dezenas de milhares de endereços IP no Brasil, EUA e México, em busca de portas abertas.

 

A Avast obteve acesso ao código-fonte quando o Avast Módulo Internet, incluído em todas as versões do Avast Antivírus, bloqueou um usuário Avast que tentava compartilhar o código-fonte em uma plataforma de compartilhamento de arquivos. O kit de exploração, que em 2018 foi vendido na web por aproximadamente 450 dólares, geralmente é distribuído por malvertising, publicidade maliciosa, mas também pode atacar roteadores pela internet. Primeiro, ele faz uma busca na web por endereços IP abertos e, em seguida, executa um script na tentativa de obter acesso aos roteadores usando credenciais de login padrão ou credenciais utilizadas com frequência. Depois que o kit de exploração obtém o acesso a um roteador via CSRF, ele usa um método de sequestro de DNS para redirecionar os usuários para sites de phishing projetados para parecerem idênticos aos sites que as pessoas realmente estão tentando visitar. Tudo o que o usuário envia pelo site de phishing, por exemplo, credenciais de login ou informações de cartões de crédito, é enviado diretamente ao cibercriminoso.

 

A análise mostra que uma das versões do kit de exploração foi projetada para digitalizar cerca de 5 bilhões de endereços IP, para identificar portas abertas que pudessem ser exploradas. Destes mais de 50% são de endereços IP do Brasil, mais de 20% dos EUA e mais de 10% localizados no México.

 

“Uma das descobertas interessantes que tivemos foi que o kit de exploração exclui intencionalmente determinados endereços IP da universidade pública de Campinas (SP, Brasil), a UNICAMP (Universidade Estadual de Campinas), que é membro do Projeto de Honeypots Distribuídos com foco na análise de ameaças direcionadas a dispositivos na internet”, disse Simona Musilová, Analista de Ameaças da Avast. "Acreditamos que os cibercriminosos desejam que o seu kit de exploração permaneça despercebido o maior tempo possível e, portanto, evitando esse intervalo conhecido dos endereços IP".

 

Incluída no código-fonte, a Avast encontrou uma lista de credenciais de login de roteadores* e o código-fonte de páginas de phishing**, que podem ser usadas para realizar ataques. As páginas de phishing incluíam páginas que imitavam alguns dos maiores bancos do Brasil, Netflix, domínios de hospedagem, sites de notícias e empresas de viagens.

 

"Até onde sabemos, somos os primeiros a analisar o código-fonte do kit de exploração GhostDNS, que é comumente utilizado para segmentar brasileiros que não alteraram as credenciais de login padrão do roteador ou que usam credenciais fracas. Embora não exista uma campanha ativa no momento, em novembro de 2019, bloqueamos mais de 7.000 tentativas de ataques de CSRF voltados à execução de comandos sem o conhecimento dos usuários, para modificar silenciosamente suas configurações de DNS e realizar ataques. Com base em nossos dados, 76% das credenciais de login dos roteadores no Brasil têm senhas fracas, deixando-os vulneráveis a ataques de CSRF”, diz Musilová.

 

As pessoas podem descobrir se o roteador está infectado usando o recurso Avast Verificador de Wi-Fi, que faz parte tanto da versão gratuita quanto de todas as versões pagas do Avast Antivírus, que incluem também o Avast Módulo Internet, um escudo que protege os usuários contra os ataques de CSRF.

 

A análise completa do código-fonte do GhostDNS, que a Avast analisou, pode ser encontrada aqui.

 

* Credenciais de login que o kit de exploração usa para tentar obter acesso aos roteadores:

** Código-fonte dos sites de phishing criados para se parecerem com as páginas a seguir, foram incluídos no código-fonte do GhostDNS: