Ataques a modems ADSL: como identificar e resolver o problema

Guilherme Scombatti | 09/11/2012 00h44 

 

Criminosos brasileiros têm se aproveitado de falhas em modems ADSL para realizar fraudes. O problema se deve ao fato dos internautas utilizarem  de senhas fracas/padrão e/ou brechas de segurança existente em alguns modelos de modems.
Este tipo de ataque não é detectado e nem impedido por antivírus e firewall existentes no computador do internauta. Os criminosos alteram as configurações do DNS existentes no modem e com isso redirecionam os sites alvo, como bancos ou grandes portais.
Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.

O Ataque

Abaixo vamos relatar um caso real em que um modem ADSL foi comprometido e teve sua configuração de DNS alterada. Um dos sites redirecionados era o da Caixa Econômica Federal. Vamos dar o nome de Paulo para o usuário que teve seu modem invadido. (A Linha Defensiva observa que todos os grandes bancos foram alvo deste ataque, mas queremos apenas ilustrar o problema citando a Caixa.)
Paulo,  que teve o seu modem comprometido, acessa o Internet Banking do seu banco (Caixa Econômica Federal). Observem a página na imagem abaixo:

Site falso da Caixa em endereço legítimo. (Foto: Reprodução)

O endereço que aparece no navegador de Paulo parece ser verdadeiro, mas se  observarmos bem, o https não está presente neste endereço.
Observem agora a verdadeira página do Internet Banking da Caixa:

Site verdadeiro da Caixa, com SSL. (Foto: Reprodução)

A diferença  entre as duas imagens é a presença do https no endereço, que indica que os dados são transmitidos através de uma conexão criptografada.
Para Paulo, ele realmente estava acessando o Internet Banking da Caixa, porque o site falso é idêntico ao verdadeiro e o endereço que aparece no navegador dele é o da Caixa.
Com o modem comprometido utilizando os DNSs do criminoso e um dos sites alvo sendo o da Caixa Econômica Federal, Paulo executou um comando ping, no Prompt de comando do Windows, no endereço “internetbanking.caixa.gov.br”. Veja abaixo o resultado:

Resposta do comando ping dá pistas de redirecionamento. (Foto: Reprodução)

Observamos na imagem acima que na resposta do comando ping existe um endereço do tipo “.clouduol.com.br”. Isso não parece estranho? Como que ao executar um comando ping para o endereço “internetbanking.caixa.gov.br” na resposta aparece um “.clouduol.com.br”?
Isso mostra que ao acessar o endereço “internetbanking.caixa.gov.br”, Paulo estava sendo redirecionado para um outro endereço localizado dentro do “.clouduol.com.br” — diferente do endereço digitado no navegador.
Nos piores ataques, os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros.

Como saber se seu modem foi comprometido com as falsas DNS?

O internauta Paulo passou antivírus/antimalware em seu computador e nada foi encontrado.
Uma outra atitude foi então tomada: Paulo alterou as DNS da conexão do Windows para as DNS do Google (8.8.8.8 e 8.8.4.4) a fim de verificar se o problema era resolvido. Depois de configurar as novas DNS, Paulo então acessou o Internet Banking da Caixa Econômica Federal e constatou que estava no site verdadeiro.
Paulo decide acessar as configurações de seu modem e verificar as DNS que estavam configuradas:

Detalhe da configuração de um modem comprometido. (Foto: Reprodução)

Observamos na imagem acima que existem DNS “200.98…” setadas no modem. Isso é uma prova de que o modem foi comprometido com falsas DNS. Uma medida tomada por Paulo foi resetar o modem para a configuração de fábrica.
Lembre-se: com os servidores DNS alterados no seu modem, todo o trafego de internet do seu computador que não estiver devidamente protegido por SSL (https e afins) pode ser monitorado.

Como se proteger?

1. Atualize o firmware do seu modem. Geralmente no site do fabricante você verá o download disponível gratuitamente, conforme o modelo. É necessário extremo cuidado para realizar esse procedimento, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.
2. Outra possibilidade é usar o modem no modo Bridge, no entanto isto expõe o seu computador diretamente na internet, deixando-o um pouco mais vulnerável a certos ataques.
3. Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional).
4. Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões .
5. Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.
6. Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem.

Alguns fabricantes de modems já reconheceram as falhas em seus produtos e disponibilizaram atualização, como a D-Link e a Intelbrás.
 

Praga brasileira sequestra navegador e ‘vende’ Windows original

ARIS-LD | 07/11/2012 11h38

Cibercriminosos brasileiros estão realizando um ataque de roubo de dados por meio de uma praga capaz de sequestrar os navegadores no computador da vítima, exibindo uma notificação de software pirata, forçando-a “comprar” uma suposta licença de Windows original por 19,90. Com os dados da compra, os criminosos clonam o cartão de crédito da vítima.
A praga foi enviada ao ARIS-LD por um usuário e ainda possui baixa taxa de detecção pelos programas antivírus. Uma vez instalada no sistema, ela impede o uso dos navegadores Chrome e Firefox, forçando dessa forma a vítima a comprar a suposta licença.
Caso a vítima clique em “Exibir detalhes do problema”, a praga irá exibir uma mensagem falsa de notificação de software pirata, oferecendo uma suposta licença original do Windows por R$ 19,90, dando a entender que o usuário só conseguirá usar os navegadores caso compre a licença:

Aviso da praga digital diz que usuário está usando uma cópia pirata do Windows.

A notificação é totalmente falsa. O intuito do golpe é apenas capturar os dados de cartão de crédito — essa é a única forma disponibilizada pela praga para “comprar” a suposta licença:

Usuário deve preencher dados do cartão de crédito em tela da praga digital brasileira. (Foto: Reprodução)

Após inserir as informações, a praga irá enviar os dados para o criminoso, exibindo a seguinte tela:

Depois de receber os dados, acesso é novamente liberado.

A praga coleta os dados e as envia através de requisição a um formulário hospedado em um provedor gratuito:

Detalhe do envio de dados do ransomware. (Foto: ARIS-LD)

Não é a primeira vez que uma praga brasileira atua como um ransomware, pedindo dinheiro para liberar recursos bloqueados por ele mesmo. Em 2009 a Linha Defensiva registrou o caso de um falso antivírus chamado Byte Clark, que para limpar o sistema de “erros”, forçava a vítima a comprar o software.
A ferramenta gratuita BankerFix removerá os arquivos criados por essa infecção a partir da próxima atualização.

É ransomware?

Tradicionalmente, um ransomware é uma praga digital que impede o usuário de utilizar algum recurso do computador ou mesmo bloqueia os dados da vítima, exigindo um pagamento para o “resgate”. No caso da praga digital brasileira, o pagamento não é necessário para “liberar” o sistema, porque o objetivo da praga é roubar os dados do cartão, que será mais tarde usado para outros fins.
Por esse motivo, o funcionamento da praga digital é um tanto incomum e pode não ser considerado um ransomware.