Hackers Sequestrando DNS de Roteadores Para Entregar Aplicativo Falso de COVID-19

Hackers estão usando o medo do atual surto de Coronavírus (COVID-19) como isca para ciberataques, seja explorando os Mapas do Coronavírus para roubar informações dos usuários, ou um aplicativo falso de Rastreamento do Coronavírus para bloquear dispositivos Android, ou um aplicativo Android malicioso que promete obter máscara de segurança contra o Coronavírus, ou a tentativa de hacking relatada contra a Organização Mundial da Saúde (OMS).

Em uma campanha de ciberataque recém-descoberta, pesquisadores descobriram que hackers estão supostamente sequestrando as configurações de DNS dos roteadores para que os navegadores da web exibam alertas falsos da OMS sobre COVID-19 e redirecionem usuários de computadores Windows para conteúdo malicioso.

De acordo com o BleepingComputer, as vítimas da campanha testemunharam seus navegadores da web abrindo automaticamente e exibindo uma mensagem que as instrui a baixar um “Informador de Emergência – COVID-19” ou “Aplicativo Inform COVID-19” que supostamente era da OMS. Na realidade, o aplicativo fraudulento é o malware que rouba informações chamado Oksi.

Após uma investigação mais aprofundada, foi descoberto que esses alertas eram resultado de um ciberataque que alterou os servidores DNS configurados nos roteadores D-Link ou Linksys da vítima para usar servidores DNS operados pelos atacantes.

Como a maioria dos computadores usa o endereço IP e as informações de DNS fornecidas pelo seu roteador, os servidores DNS maliciosos redirecionaram as vítimas para conteúdo malicioso sob o controle dos atacantes, de acordo com especialistas.

Para quem não sabe, Oksi é capaz de roubar dados baseados em navegador — incluindo cookies, histórico da internet e informações de pagamento — assim como credenciais de login salvas, carteiras de criptomoedas, arquivos de texto, informações de preenchimento automático de formulários do navegador e bancos de dados de autenticadores Authy 2FA.

Ainda não está claro como os atacantes ganharam acesso aos roteadores afetados, mas alguns usuários afirmam que deixaram suas capacidades de acesso remoto abertas com uma senha de administrador fraca.

“Esse ataque destaca a necessidade de as pessoas se certificarem de que mudam o nome de usuário/senha padrão para seu roteador doméstico, já que vários dos usuários afetados admitiram ter uma combinação fraca ou padrão”, disse Laurence Pitt, diretor de estratégia de segurança global da Juniper Networks. “A maioria dos provedores de internet hoje fornece roteadores que têm uma configuração de segurança padrão de força decente. Parece que esse ataque visou uma certa marca de roteador, [o que] também indicaria que os usuários deixaram a combinação padrão de administrador/senha para acessar o dispositivo.”

De acordo com o BleepingComputer, quando um computador se conecta a uma rede, a Microsoft usa um recurso chamado ‘Indicador de Status de Conectividade de Rede (NCSI)’ para verificar a conectividade com a internet.

Neste caso, em vez de se conectar ao endereço IP legítimo da Microsoft, os servidores DNS maliciosos enviam o usuário para um site controlado por hackers que exibe o alerta para baixar e instalar um falso ‘Informador de Emergência – COVID-19’ ou ‘Aplicativo Inform COVID-19’ da OMS.

Se um usuário baixar e instalar o aplicativo, em vez de receber um aplicativo de informações sobre COVID-19, o Trojan Oksi que rouba informações será instalado em seu computador.

Quando lançado, esse malware tentará roubar informações como cookies do navegador, histórico da internet do navegador, informações de pagamento do navegador, credenciais de login salvas, carteiras de criptomoedas, arquivos de texto, informações de preenchimento automático de formulários do navegador, bancos de dados de autenticadores Authy 2FA, uma captura de tela da área de trabalho do usuário no momento da infecção e mais.

Essas informações roubadas são então enviadas para um servidor remoto onde os atacantes coletam os dados para realizar novos ataques nas contas online da vítima para roubar dinheiro de contas bancárias, realizar roubo de identidade ou mais ataques de spear phishing.

Se seu navegador estiver abrindo aleatoriamente uma página promocional do aplicativo de informações sobre COVID-19, certifique-se de reconfigurar seu roteador para que ele possa receber automaticamente seus servidores DNS de seu ISP. Também é aconselhável redefinir sua senha para uma mais forte e desativar a administração remota no roteador.

Para aqueles que baixaram e instalaram o aplicativo de COVID-19, realize uma verificação de malware imediatamente em seu computador. Uma vez limpo, certifique-se de mudar as senhas de todos os sites cujas credenciais estão salvas em seu navegador, bem como dos sites que você visitou após ser infectado. Mais importante ainda, certifique-se de usar uma senha única em cada site ao redefinir suas senhas.