O belga Pascal Geenens é um pesquisador da empresa Radware, empresa israelense especializada na proteção de datacenters e estruturas de nuvem. Sua equipe desenvolve e mantém os honeypots da Internet das Coisas (IoT) e pesquisa ativamente a presença de malwares na IoT. Foi por isso que ele descobriu uma verdadeira campanha de malware instalado em roteadores DLink atacando clientes do Itaú Unibanco e do Banco do Brasil. Os bancos-alvo foram notificados assim que a campanha foi descoberta.
O centro de pesquisas da Radware vinha monitorando essa atividade direcionada aos roteadores DSL da DLink no Brasil desde 8 de Junho. Utilizando até exploits antigos, que datam de 2015, um agente malicioso vem tentando modificar as configurações de DNS nos roteadores brasileiros, redirecionando todas as suas solicitações de DNS por meio de um servidor DNS mal-intencionado. O servidor DNS malicioso está seqüestrando as solicitações de nome para o host do Banco de Brasil (www.bb.com.br) e redirecionando para um site falso e clonado, hospedado no mesmo servidor DNS malicioso. Que não tem nenhuma conexão com o legítimo Banco de Brasil na Internet.
Mas não é só isso: a mesma coisa está sendo feita com as requisições para o Itaú Unibanco (www.itau.com.br). Esse endereço também é redirecionado nos DNS contaminados, embora não tenha ainda o apoio de um site clonado – por enquanto. Para todas as outras solicitações de DNS, o servidor mal-intencionado funciona como um encaminhador e resolve o nome exatamente como faria um servidor DNS do provedor de acesso. O servidor DNS mal-intencionado criado pelos hackers se torna um efetivo intermediário que fornece ao agente malicioso a flexibilidade de exibir portais e páginas falsas, para coletar informações confidenciais de usuários cujos roteadores foram infectados.
Com essas informações, eles podem depois acessar as páginas verdadeiras dos bancos.
O que há de especial nessa abordagem é que o seqüestro do DNS é realizado sem qualquer interação do usuário. De 2014 até 2016 foram registradas campanhas de phishing com URLs elaboradas e campanhas de malvertising (via anúncios) que tentavam alterar a configuração do DNS a partir do navegador do usuário. No início de 2016, apareceu uma ferramenta de exploração chamada RouterHunterBr 2.0, que foi publicada na Internet e utilizou os mesmos URLs maliciosos mas não há relatos de abusos causados por essa ferramenta.
O ataque atual é traiçoeiro no sentido de que o usuário não tem consciência da mudança. Funciona sem criar ou alterar URLs no navegador do usuário. Mesmo ele digitando a URL certa será dirigido ao endereço malicioso. A partir de 12 de junho, a rede de honeypots IoT registrou várias tentativas de infecção desses antigos exploits do roteador DSL D-Link. O exploit permite a configuração remota, não autenticada, das configurações de DNS no roteador do modem.
A rede de honeypots registrou quase 500 tentativas de infecção entre 8 de junho e 10 de agosto. Todos os honeypots de São Paulo capturaram essas tentativas, sem exceção. O restante da rede global não capturou nenhuma dessas tentativas, o que significa que o agente malicioso estava concentrando seu ataque apenas em alvos brasileiros, tentando aumentar a eficiência e permanecer sob o radar de honeypots fora do Brasil. As tentativas de exploração foram realizadas a partir de poucos servidores. A maioria deles localizada nos EUA, mas o mais ativo e agora único servidor ativo está localizado no Brasil. Veja na imagem os cinco IPs responsáveis pelas 500 tentativas.
O falso site do Banco do Brasil estava em https://198.50.222.136/pbb/web usando um certificado autoassinado, com data de início de validade em 1º de agosto de 2018, mesmo dia de alteração do IP no servidor DNS. Ao tentar acessar o endereço, o usuário caía num formulário que pedia número da agência bancária, o número da conta e sua senha de oito dígitos para acesso via internet. A seguir, pedia número de celular, senha do cartão e senha do atendimento telefônico.
Os usuários dos bancos podem ter sofrido perdas financeiras por meio desse ataque. A única indicação de problemas para o usuário pode ter sido o aviso de certificado inválido, que todos os navegadores modernos mostram claramente ao usar conexões seguras. Não é possível acessar o site sem confirmar explicitamente a exceção “Não seguro”! No entanto, o site malicioso, ao contrário do site original, permite conexões não-seguras. Se o usuário, por algum motivo, digitou a URL do banco de modo inseguro (http: // em vez de https: //), não houve nenhum aviso. Nada visível para o usuário.
Outro problema ocorrerá para o usuário quando o servidor DNS malicioso ficar offline ou for derrubado. Nesse caso, todas as casas que tiveram o roteador infectado não conseguirão resolver mais nenhum hostnames e sua Internet ficará praticamente inacessível – até que as configurações de DNS do roteador sejam corrigidas manualmente ou pelo provedor de acesso. A Radware trabalhou em colaboração com o provedor de nuvem que hospeda o DNS e os sites maliciosos e informa que desde as 13h do dia 10 de Agosto eles foram colocados offline.
Moral da história: arma velha também atira.