Malware russo é pior do que o imaginado

Revelado no final de maio, o malware russo VPNFilter pode ser pior do que o imaginado inicialmente. Isso porque a Cisco Systems atualizou nesta semana a lista de ataques possíveis e de roteadores que podem ser afetados pela ameaça.

Em um post feito no seu blog em 6 de junho, a divisão Talos, da Cisco, afirmou ter descoberto um “novo módulo de estágio 3 que injeta conteúdo malicioso no tráfego web à medida que passa por um aparelho de rede”. Mais conhecido como “man-in-the-middle”, esse ataque permite que os cibercriminosos usem essa vulnerabilidade para interceptar tráfego de rede e injetar código malicioso sem que o usuário fique sabendo.

Isso significa que um hacker pode manipular o que você vê na sua tela enquanto ainda realiza tarefas maliciosas no seu display. Como o gerente sênior de tecnologia da Talos, Craig Williams, afirmou ao site especializado Ars Technica, “Eles podem modificar o saldo da sua conta bancária para que ele pareça normal enquanto que eles retiram dinheiro e potencialmente chaves PGP e coisas do tipo. Eles podem monitorar tudo entrando e saindo do aparelho”. Essa é uma ameaça muito maior do que o imaginado inicialmente.

Quais os roteadores afetados?

O alerta emitido pelo FBI no fim de maio sugere que todos os donos de roteadores devem reiniciar seus aparelhos. Por isso, talvez seja uma boa ideia reiniciar o seu roteador de qualquer forma.

Dito isso, a Symantec publicou a seguinte lista no fim de maio com roteadores e aparelhos NAS que seriam suscetíveis ao VPNFilter.

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: Versões 1016, 1036 e 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Outros aparelhos QNAP NAS rodando software QTS
• TP-Link R600VPN

Nos últimos dias, no entanto, a Cisco, emitiu um alerta afirmando que a ameaça vai além desses modelos acima, e inclui um grupo mais amplo de roteadores fabricados por empresas como Asus, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. Vale lembrar que o FBI e a Cisco recomenda que todos os usuários reiniciem os seus roteadores, independente de eles estarem na lista ou não.

Reiniciar o seu roteador acaba com o que a Cisco chama de Estágio 2 e Estágio 3 do VPNFilter – a parte destrutiva do malware. O processo é simples: simplesmente desconecte o roteador da tomada, espere 30 segundos e plugue-o novamente. Pronto!

Também é recomendado trocar a senha do roteador por um código novo e forte, desabilitar os recursos de gerenciamento remoto (que devem vir desabilitados por padrão na maioria dos casos) e atualizar seu software de antivírus no computador. Além disso, caso você tenha um roteador que esteja na lista de aparelhos afetados pelo VPNFilter pode ser importante realizar um reinício de fábrica nas configurações do dispositivo.

Fonte: IDGNow!

Bug ameaça segurança de smart Tvs, roteadores e smartphones

smart-tv

Pesquisadores de segurança da Trend Micro descobriram que uma falha de segurança de 2012 ainda não foi consertada pelos fabricantes e, devido a isso, diversos tipos de dispositivos, como SmartTVs, roteadores e smartphones estão vulneráveis.

A vulnerabilidade está presente na biblioteca do código chamado “libupnp”, dentro do SDK móvel do UPnP. O Universal Plug and Play é um protocolo de rede usado para reprodução de mídia e NAT. O “libupnp” lida diretamente com os pacotes do protocolo SSDP e requer que a porta UDP 1900 esteja aberta.

A Trend Micro diz que em dezembro de 2012 um patch foi emitido para consertar a falha, porém os pesquisadores descobriram que 547 aplicativos não foram solucionados por apresentarem falhas mais antigas. Dos 547 aplicativos vulneráveis, 326 estão presentes na loja de aplicativos Google Play.

Dentre os aplicativos vulneráveis, estão incluídos por exemplo o QQMusic, que tem cerca de 100 milhões de usuários na China. Outro app envolvido com o problema é o Linphone, utilizado para incoporar VoIP em aplicativos. Tanto o QQMusic com o Linphone já contam com novos patches de segurança para corrigir o problema.

A Trend Micro alerta que o regime de patches de segurança para dispositivos como SmartTVs e roteadores não são tão rigorosos como os de softwares e dispositivos de “grande porte”, ocasionando problemas de segurança para os usuários.

Caso essa falha seja explorada por um invasor, seria possível, por exemplo, assumir o controle do dispositivo. Vulnerabilidades como essa colocam em xeque certos conceitos como as “casas inteligentes”, que tudo indica se tornará tendência, já que diversos dispositivos inteligentes com falhas como essas colocariam a residência na mão do “ladrão cibernético”.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Guia do Hardware e Trend Micro

Brasil: campeão mundial em ataques a roteadores domésticos

roteador_hardwareO Brasil é o campeão de ataques a roteadores domésticos por mudança de DNS, com 81%, sendo que no primeiro trimestre, esse porcentual era de 14%, reporta estudo “A Rising Tide: Novos Hackers Ameaçam Tecnologias Públicas”, divulgado pela Trend Micro, nesta quinta-feira, 03/09. Segundo o estudo, o Brasil está bem à frente de países como os Estados Unidos, 2%, e Espanha, 1%.

Segundo a empresa de Segurança, o aumento no número de ataques envolvendo roteadores é alarmante porque esses dispositivos desempenham um importante papel em redes domésticas. Os criminosos que têm controle de roteadores vulneráveis, advertem os especialistas da Trend Micro, podem ter uma visibilidade de todos os dispositivos conectados a eles, bem como todas as informações que eles retransmitirem.

De acordo ainda com o estudo da Trend Micro, o LordFenix foi também destaque no cenário cibercriminoso brasileiro e se tornou um dos maiores criadores de mais de 100 malwares bancários, que eram vendidos por cerca de 1 mil reais cada. A hospedagem de URLs maliciosas feitas por hackers e o número de acessos nesses sites atingiu no Brasil, a média de quase 800 milhões em junho, o maior número da América Latina.

Além disso, o número de vítimas que clicaram em sites maliciosos totalizaram em junho, mais de 4 milhões de pessoas. Em relação ao número de Spams por país, Brasil lidera: só em maio mais de 13 milhões de Spams foram enviados. O número de malware detectados no último trimestre ultrapassou 2 milhões e 500 mil na detecção de software infectados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Saiba como hackers atacam roteadores

securityÉ possível você ser roubado online mesmo sem seu PC ser infectado? Infelizmente, sim. Quem dá o alerta é o analista de malware da Kaspersky Brasil, Fabio Assolini. Em sua apresentação no 5º Encontro Latino Americano de Analistas de Segurança, o expert mostrou como os cibercriminosos brasileiros estão se especializando em atacar dispositivos de rede (especialmente roteadores e modems) e desviar os internautas para sites falsos. “É o chamado envenenamento de DNS”, explica. Com isso, ao digitar o endereço de um site, o usuário infectado vai parar numa página clonada e pode acabar entregando seus dados.

De acordo com ele, nos últimos 5 anos mais de 1000 exploits (falhas de segurança) contra dispositivos de rede foram descobertas -e praticamente todas podem ser consultadas via web de maneira bem simples. Muitos desses bugs permitem aos atacantes executar instruções remotamente, sem que o usuário perceba -e não foram consertadas pelos fabricantes.

Os cibercriminosos também infectam sites vulneráveis (ou servidores de propaganda, que exibem banners em vários sites) com códigos que tentam acesso ao roteador do usuário. Caso a senha não seja a padrão, surge uma tela pedindo login e senha.

Os ataques têm sido massivos e bem-sucedidos, diz Assolini. “Mais de 4,5 milhões de modems foram comprometidos em 2011/12 e tiveram seu DNS padrão alterado”, revela. É um golpe silencioso e que possibilita lucro fácil para os crackers.

Os provedores também possuem sua parcela de culpa neste cenário, afirma. Muitas empresas dão aos usuários roteadores e modems antigos, com falhas não consertadas de segurança. Além disso, provedores pequenos são vítimas de ciberatacantes, que exploram falhas nos servidores para redirecionar ou sequestrar o tráfego dos clientes. Também há casos em que empregados dos provedores trabalham em conjunto com os bandidos para alterar as configurações de roteamento da empresa e aplicar o golpe nos usuário durante um período de tempo. “Há 8500 servidores DNS no Brasil, e a maioria pertence a pequenos provedores sem equipe de segurança dedicada”, afirma. Segundo Assolini, a cada mês surgem 20 servidores DNS maliciosos, específicos para a prática de golpes.

Para defender-se desse tipo de golpe, o analista sugere algumas dicas:

• Use o painel de controle do seu roteador para alterar o DNS padrão do provedor por outros mais confiáveis, como os do Google e OpenDNS

• Consulte o site do fabricante do seu roteador/modem e sempre que disponível faça o update do firmware do aparelho

• Jamais mantenha as senhas padrão para gerenciar o roteador/modem

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog

Falhas de segurança em roteadores comprometem segurança

roteador_hardwareO pesquisador de segurança Kyle Lovett, fez uma afirmação categórica em relação aos modems/roteadores ADSL fornecidos pelos provedores, Lovett afirma que mais de 700 mil roteadores contém falhas graves de segurança que permitem ataques remotos por cibercriminosos.

A maioria dos roteadores afetados têm uma falha em um diretório transversal em um componente do firmware chamado Webproc.ci que permite aos cibercriminosos extrair informações sensíveis sobre a configuração, incluindo as credenciais de administrador. Essa mesma falha mencionada por Lovett já havia sido reportada desde 2011 por outros profissionais do ramo, mas parece que nada foi resolvido.

Com esse acesso ao diretório transversal os atacantes conseguem extrair dados de um arquivo chamado config.xml, arquivo este que conta com informações importantes como as credenciais de login para acessar o modo administrador do roteador e o usuário e senha de acesso dos provedores (PPoE), além de credenciais dos clientes e do servidor para acesso remoto TR-069 usado por alguns ISPs.

De acordo com Lovett o algortimo de hash utilizado pelos roteadores afetados é fraco, fazendo com que as senhas geradas sejam facilmente decifradas, permitindo que os atacantes possam sequestrar e alterar as configurações de DNS de um roteador.

Com esse controle ao DNS os atacantes podem direcionar os usuários para servidores desonestos quando o usuário tentar acessar um site legítimo. Esse tipo de ataque chamado router pharming já deu as caras até no Brasil. No ano passado os analistas da Kaspersky Lab anunciaram que um ataque simplesmente mudava as configurações de DNS dos roteadores domésticos, direcionando os usuários para as famosas páginas de phishing bancários.

E a pesquisa de Lovett vai mais além, o pesquisador diz que 60% dos roteadores contam com backdoors, alguns podem até serem imunes a falha de travessia, mas contam com portas que podem ser exploradas por cibercriminosos e claro as organizações ligadas ao governo.

A maioria dos roteadores afetados utilizam um firmware de uma empresa chinesa chamada Shenzhen Gongjin Eletronics, confira abaixo alguns dos modelos afetados:

  • ZTE H108N
  • ZTE H108NV2.1
  • D-Link 2750E
  • D-Link 2730E
  • D-Link 2730 U
  • Sitecom WLM-3600
  • Sitecom WLR-6100
  • Sitecom WLR-4100
  • FiberHome HG110
  • Planet ADN-4101
  • Digisol DG BG4011N
  • Observ Telecom BHS_RTA_R1A

Além das marcas citadas acima, essa mesma Shenzhen Gongjin Electronics fornece firmware para outras empresas de peso no setor de roteadores, vamos a elas: Asus, Alcatel-Lucent, Belkin, Netgear e ZyXEL.

A maioria dos dispositivos vulneráveis são identificados como modems ADSL com funcionalidades de roteador que foram fornecidos pelos provedores para clientes na Colômbia, Índia, Argentina, Tailândia, Moldova, Irã, Peru, Chile, Egito, China e Itália.

Ainda não está claro se a empresa chinesa responsável por esses firmwares e fabricação de produtos para essas diversas marcas esá ciente das falhas ou se já foram distribuidas versões corrigidas do firmware para as empresas associadas a Shenzhen.

Agora a grande pergunta, como Lovett conseguiu ter essa estimativa de dispositivos vulneráveis? O pesquisador afirma que para encontrar a lista de roteadores vulneráveis utilizou o motor de busca SHODAN, especializado na busca de dispositivos conectados à internet. Lovett diz que 700 mil é uma estimativa moderada, já que esse número somente se aplica a dispositivos que podem ser acessados remotamente, que possuem suas interfaces de administração baseada na Web.

Lovett afirma que tentou notificar por diversas vezes a Shenzhen sobre o problema mas não obteve resposta. Com mais essa pesquisa conduzida de forma brilhante por Kyle Lovett, constato mais uma vez que a internet de todas as coisas será um problema de escalas colossais, com todos esses roteadores saindo de fábrica com níveis de segurança ridículos, e a grande maioria dos usuários contribuindo ainda mais com senhas frágeis, o conceito de uma smart-home vai virar um verdadeiro inferno nas mãos de hackers, crackers e afins.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Guia do Hardware e PCWorld

Hackers usam e-mail falso para invadir roteadores no Brasil

oigolpeAtaque muda configurações do aparelho e pode roubar senhas.

Mensagem que se passa por comunicado da operadora Oi foi utilizado.

A empresa de segurança Proofpoint divulgou um alerta sobre um ataque contra internautas brasileiros capaz de alterar as configurações de modems e roteadores. Os criminosos enviam mensagens de e-mail com um link que leva a vítima para um site malicioso. A mudança permite que os ladrões redirecionem sites para roubar senhas.
O golpe teria sido enviado a um pequeno grupo de organizações, de acordo com a Proofpoint. Uma das mensagens de e-mail se passa por um comunicado da operadora Oi sobre uma fatura pendente.

A página maliciosa presente no link da mensagem tenta explorar problemas em equipamentos que, segundo a Proofpoint, são distribuídos pela operadora. O ataque só funciona caso o usuário não tenha trocado a senha padrão do roteador.
Uma das senhas que a página tenta é “gvt12345”, o que significa que usuários da GVT também são vítimas do ataque.

A GVT e a Oi afirmam que não trabalham com os modems e roteadores mencionados pela Proofpoint. A GVT diz ainda que recomenda a alteração da senha de administração do equipamento após o primeiro acesso e que esses problemas podem ocorrer com “modems não certificados pela GVT”. A companhia afirma ter proteção para impedir esse tipo de ataque.

Sobre o e-mail falso, a Oi informa que clientes que tenham dúvidas sobre mensagens supostamente enviadas pela empresa podem discar 144 de um telefone Oi, ou 1057 e 10331 de qualquer telefone para confirmar a validade de informações referentes à empresa. A ligação é gratuita.

Caso o ataque tenha sucesso, a configuração de DNS (Domain Name Service) do roteador é modificada para usar um servidor controlado pelos criminosos. O DNS serve como “serviço 102” da internet, traduzindo “nomes” como “g1.com.br” para números de endereço IP aos quais os computadores podem se conectar.

Controlando esse mecanismo, os invasores podem redirecionar os usuários, levando as vítimas para sites falsos que podem capturar senhas e dados.

Esse tipo de golpe é conhecido como “pharming”. Enquanto o “phishing” leva o usuário diretamente para uma página falsa, o “pharming” redireciona o acesso ao site legítimo para obter as informações desejada pelos golpistas. O “pharming” é mais difícil de ser realizado, mas o endereço que aparece no navegador é o mesmo endereço do site verdadeiro, dificultando a identificação do golpe.
Em sites que adotam segurança HTTPS, a fraude pode ser percebida pela ausência do cadeado de segurança.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Milhares de roteadores podem sofrer ataques DDoS

ddos_routerNo início do ano, mais de 5,3 milhões de roteadores foram utilizados para gerar tráfego malicioso em um único dia. No mundo todo, o número de roteadores domésticos vulneráveis a ataques DDoS baseados em DNS cresceu significativamente, chegando à marca de 24 milhões de equipamentos. É o que mostra um estudo realizado pela empresa NominumTM.

De acordo com a companhia, o DNS é, de longe, o protocolo mais popular para lançar ataques com amplificadores mais disponíveis do que os quatro outros protocolos existentes juntos.

Em fevereiro deste ano, mais de 5,3 milhões de roteadores foram utilizados para gerar tráfego malicioso – e isso em um único dia. Em janeiro, mais de 70% do tráfego de DNS total de um provedor foram criados a partir da amplificação de DNS.

De acordo com Sanjay Kapoor, CMO e vice-presidente sênior da Nominum, os ataques por amplificação de DNS se tornaram bastante utilizados, porque necessitam de pouca habilidade ou esforço e causam grandes danos.

“As defesas internas contra DDoS não funcionam contra os ataques de hoje, que podem ser lançados por qualquer criminoso que quer alcançar o máximo dano com o mínimo de esforço”, explica ele. “Mesmo que os provedores empreguem as melhores práticas para proteger suas redes, eles ainda podem se tornar vítimas, graças à vulnerabilidade inerente de proxies de DNS abertos”, acrescenta.

Os roteadores domésticos vulneráveis camuflam o autor do ataque, o que dificulta a identificação – por parte dos provedores de Internet – do destino e do autor de grandes ondas de tráfego amplificado.

O tráfego de amplificação equivale a trilhões de bytes por dia interrompendo as redes de provedores, sites e indivíduos. Isso causa quatro tipos de impacto:

•De rede, gerado pelo tráfego malicioso que satura a largura de banda disponível;

•De custos, por conta do aumento nas chamadas de suporte técnico causado pela interrupção do serviço intermitente;

•De receita, porque, quando o usuário tem uma experiência ruim de internet, a rotatividade aumenta, bem como as despesas para retenção de clientes;

•De reputação, uma vez que muito do tráfego indesejado é direcionado a concorrentes.

Opinião do seu micro seguro: para se proteger desse tipo de ameaça eu recomendo o uso do programa …….

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!