A Avast [LSE: AVST], líder global em produtos de segurança digital, bloqueou outro ataque CSRF mirando roteadores brasileiros. De 20 a 22 de outubro de 2020, a Avast observou uma campanha ativa de CSRF, protegendo cerca de 4,5 mil usuários Avast no Brasil e bloqueando as mais de 10 mil tentativas de ataques feitas em seus roteadores. Os cibercriminosos usam ataques CSRF para realizar comandos sem o conhecimento das pessoas, neste caso, para modificar silenciosamente as configurações de DNS dos usuários e realizar ataques. Enquanto as configurações de DNS estavam sendo modificadas na campanha que a Avast observou recentemente, os cibercriminosos por trás dos ataques ainda não haviam começado a redirecionar os usuários para sites de phishing.

Os kits de exploração de roteadores são populares no Brasil. No final do ano passado, a Avast descobriu duas landing pages hospedando Novidade, uma versão do kit de exploração GhostDNS. A campanha mais recente, monitorada pela Avast, também usou Novidade.

Sequestro de DNS leva a ataques de phishing
Um ataque CSRF de roteador é normalmente iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), que é veiculada por meio de redes de anúncios de terceiros para o site. Nesse caso, os usuários são redirecionados automaticamente para uma landing page do kit de exploração do roteador, iniciando o ataque em seu aparelho, sem a interação do usuário em segundo plano. A landing page que hospedava a variante GhostDNS 

Os kits de exploração podem atacar com sucesso um roteador - já que muitos roteadores são protegidos com credenciais fracas -, geralmente as credenciais padrão, com as quais o roteador é entregue, são informações que podem ser facilmente encontradas na internet. De acordo com uma pesquisa da Avast*, 43% dos brasileiros nunca se conectaram à interface administrativa web, para alterar as credenciais de login de fábrica do roteador.

"Os ataques CSRF a roteadores são, infelizmente, muito populares no Brasil e vemos o kit de exploração Ghost DNS sendo usado para direcionar os roteadores de brasileiros, novamente, de tempos em tempos", diz Simona Musilová, Analista de Ameaças da Avast. “Enquanto a campanha não esteja mais ativa e os invasores ainda não tenham redirecionado os usuários para sites de phishing, isso não significa que aqueles infectados estejam seguros. Os invasores podem começar a redirecionar os usuários sem qualquer suspeita, para sites de phishing a qualquer momento. No passado, os cibercriminosos redirecionavam os usuários que tentavam visitar sites de bancos populares ou sites como Netflix, para coletar credenciais de login".

Permaneçam protegidos

Simona Musilová continua: “Os usuários devem ter cuidado ao visitar o site de seu banco ou qualquer outro site, onde seja necessário fazer o login, e certificarem-se de que a página tenha um certificado válido - verificando o cadeado na barra URL do navegador. Além disso, os usuários devem atualizar frequentemente o firmware do roteador, para a versão mais recente e configurar as credenciais de login do roteador com uma senha forte. Os usuários que acreditam que o seu roteador está infectado, devem fazer o login na interface administrativa do roteador e alterar as suas credenciais de login, estando atentos à sua conta bancária".

As pessoas podem descobrir se seu roteador está infectado, usando o recurso Avast Wi-Fi Inspector que faz parte do Avast Free Antivirus e todas as versões de antivírus pagas Avast, incluindo ainda o Avast Web Shield - um escudo central que protege os usuários contra ataques CSRF.

* Pesquisa online realizada com mais de 1.500 usuários da Avast no Brasil, em junho de 2018.