De acordo com especialista, crackers
usaram falha que atinge modelos mais vendidos no País e alteraram configurações
para levar internautas a sites falso
Milhões de internautas brasileiros
foram vítimas de um ataque que invadiu e alterou as configurações de modems DSL
(banda larga), fazendo com que as visitas ao Google ou Facebook, por exemplo,
fossem redirecionadas para sites falsos. Essas páginas, por sua vez, infectavam
o micro com malware capaz de roubar dados bancários.
O ataque infectou mais de 4,5 milhões
de modems DSL, disse o analista de malware da Kaspersky Lab no Brasil, Fabio
Assolini, em post no blog da empresa.
A vulnerabilidade explorada pelos
crackers permitia o uso de um código (script) simples para roubar senhas e
acessar remotamente a configuração dos modems. A alteração fazia com que, ao
digitar um site, como www.meubanco.com.br,
o internauta fosse parar em um site clonado, que injetava um código malicioso
no sistema.
"Esse golpe, em ação desde 2011,
explora uma vulnerabilidade de firmware, dois scripts maliciosos e 40
servidores DNS maliciosos. Ele afeta seis fabricantes de hardware, resultando
em milhões de internautas brasileiros vítimas de um ataque em massa contínuo e
silencioso", diz Assolini.
Tempestade perfeitaO expert disse que o ataque em massa
foi o resultado de uma "tempestade perfeita", provocada pela omissão
de uma variedade de elementos-chave, incluindo provedores, fabricantes de
modem, e da Anatel, agência que aprova os dispositivos de rede, mas não testou
a segurança de qualquer um dos modems (no entanto, não é atribuição da agência
fazer essa verificação).
Ainda não está claro quais fabricantes
e modelos de modem são suscetíveis aos ataques. Assolini explica que a
vulnerabilidade, divulgada no início de 2011, parece ser causada por um driver
de chipset em modems que usam hardware Broadcom.
O expert não sabe exatamente quando,
mas crackers começaram a explorar a falha com sucesso contra milhões de modems
brasileiros. Além de apontar os dispositivos para servidores maliciosos DNS,
eles também mudaram as senhas de dispositivo para tornar mais difícil para as
vítimas consertarem a alteração.
Site-clone do Facebook pede a
instalação de plugin malicioso
Os ataques foram registrados em modems
de seis fabricantes, dos quais cinco são populares no Brasil. "A
negligência dos fabricantes e dos provedores e a ignorância dos órgãos oficiais
do governo criaram uma" tempestade perfeita, permitindo aos
cibercriminosos atacar à vontade", escreveu o especialista.
Somente um dos 40 servidores DNS usados
no ataque - a maioria fora do País - revelou que mais de 14 mil vítimas o
acessaram. Assolini exibiu uma conversa online em que um dos crackers disse ter
ganhado "mais de 100 mil reais" e que iria usar o dinheiro em viagens
para o Rio de Janeiro na companhia de prostitutas.
ProteçãoComo o golpe atinge os modems, não há
muito o que o usuário comum possa fazer para evitá-lo. Uma dica é atualizar o
firmware do dispositivo - para isso, veja as instruções no manual.