Avast detectou dois códigos em atividade que mudam configuração e redirecionam acessos (Por Altieres Rohr)

A fabricante de antivírus Avast publicou um alerta sobre dois ataques que adulteram as configurações de roteadores de internet no Brasil. A modificação — feita em pelo menos 180 mil equipamentos só no primeiro semestre de 2019 — desvia os acessos a determinados sites para páginas clonadas, que remetem qualquer senha digitada aos hackers.

O redirecionamento muda o destino de serviços bancários e peças publicitárias, além de enviar um código de mineração de criptomoeda ao navegador da vítima.

Os alvos do ataque são roteadores domésticos, como os cedidos por operadoras e provedores de internet ou adquiridos por conta própria no mercado para acesso à rede (veja lista de modelos abaixo). Os códigos desenvolvidos pelos hackers são colocados em sites falsos e abusam do funcionamento simplificado e das senhas de fábrica desses equipamentos para substituir a configuração automática transmitida pelo provedor.

Um dos ataques em atividade, chamado de "GhostDNS" ou "Novidade", já era conhecido. O outro, denominado "SonarDNS", é considerado novo. Segundo a Avast, os produtos da empresa detectaram 180 mil roteadores adulterados e bloquearam milhões de tentativas de ataque.

Os criminosos inserem os códigos em páginas falsas. Quando a página é visitada, o código tenta realizar a mudança na configuração por meio do próprio navegador, o que pode ocorrer de maneira silenciosa ou com um aviso falso na tela sobre uma "atualização do leitor de vídeo". Nenhum programa é baixado para o computador para realizar esse ataque: tudo acontece pela rede e pelo "envenenamento" do roteador.

Enquanto código tenta atacar o roteador, usuário vê mensagem para aguardar uma suposta 'atualização de leitor de vídeo'. 

Se a modificação no roteador for realizada com sucesso, a navegação na internet passará a depender de um serviço de DNS (Domain Name System) operado pelos criminosos. O DNS é o "102" da internet, responsável por descobrir os números (endereços IP) relacionados a nomes, como "g1.com.br". O DNS usado no acesso à internet é normalmente fornecido pelo provedor contratado.

Obtendo o controle do DNS da vítima, os hackers podem oferecer endereços IP falsos para os endereços consultados, levando o usuário a uma página clonada criada pelos próprios criminosos em vez do destino correto.

Três em um
Os golpistas redirecionam os acessos para três finalidades: roubo de senhas, desvio de anúncios publicitários e inserção de código de mineração de criptomoedas.

O roubo de senhas acontece quando a vítima digita a senha na página clonada, entregando os dados para os criminosos. O desvio de anúncios substitui peças publicitárias exibidas na internet, o que pode render dinheiro para os hackers.

Por fim, os códigos de mineração de criptomoedas fazem o computador da vítima trabalhar para conseguir essas moedas digitais, consumindo mais energia elétrica e prejudicando a bateria de notebooks e celulares. Os golpistas também ganham dinheiro com isso, já que a participação no processo de mineração de criptomoedas dá direito a parte dos lucros obtidos com a venda dessas moedas.

Dessa forma, um único ataque permite que o criminoso obtenha vantagem de três maneiras diferentes. Mesmo que alguém não acesse serviços bancários para ser vítima do roubo de senha, o hacker ainda pode faturar com as outras duas atividades.

Equipamentos atacados
Segundo a Avast, os modelos de roteadores abaixo estão entre os atacados:

- TP-Link TL-WR340G / WR1043ND
 - D-Link DSL-2740R / DIR 905L
 - A-Link WL54AP3 / WL54AP2
 - Medialink MWN-WAPR300
 - Motorola SBG6580
 - Realtron
 - GWR-120
 - Secutech RiS-11 / RiS-22 / RiS-33

As seguintes combinações de usuário e senha são programadas no código: usuário "admin", senhas "admin", "12345", "123456", "gvt12345", "vivo12345"; usuário "root", senha "root" e usuário "super", senha "super". Todas essas são senhas de fábrica ou configuradas pela operadora e, portanto, devem ser trocadas pelo consumidor.

Os passos para trocar a senha variam de equipamento para equipamento. Recomenda-se consultar o manual do produto ou o suporte técnico do provedor para receber orientações. Em alguns casos, pode ser necessário realizar um "reset" (um botão especial no equipamento que restaura os ajustes de fábrica) para garantir que nenhuma adulteração dos hackers tenha permanecido no equipamento.

A Avast também aconselha atualizar o "firmware" (software embarcado) do roteador para a versão mais recente. Esse procedimento também varia dependendo do modelo. Diferente de atualizações para aplicativos no celular ou no computador, essas atualizações normalmente não são baixadas e instaladas de maneira automática. É preciso baixar o arquivo específico do modelo no site do fabricante e seguir à risca as instruções de atualização.

Em caso de dúvida, a versão gratuita do antivírus Avast inclui um recurso chamado "Wi-Fi Inspector" que verifica se o roteador foi adulterado.