Ataques de hackers, infelizmente, são cada vez mais comuns. Recentemente vimos um ataque ao GloboPlay, plataforma de streaming da Rede Globo de Televisão, que ficou conhecido como GloboHack no Twitter. Antes disso, fomos alertados de que hackers estavam se passando por empresas famosas da internet para roubar dados.

Hoje as informações vem da Avast, que analisou um kit chamado GhostDNS. A empresa teve acesso ao código fonte do kit utilizado para atacar roteadores e alterar configurações de DNS dos dispositivos.

A Avast obteve o código quando um usuário foi bloqueado pelo Avast Módulo Internet, que está presente em todas as versões do antivírus da empresa. O usuário em questão estava tentando enviar o código fonte em uma plataforma de compartilhamento de arquivos.

A análise mostrou que o GhostDNS tinha como principal foco os roteadores brasileiros. Para encontrá-los, ele fazia uma scan em dezenas de milhares de endereços de IP a procura de portas abertas para infectar. Quando ele encontrava uma porta aberta em um roteador, o kit executava um script com as credenciais mais utilizadas para tentar acessar o dispositivo e assim alterar suas configurações de DNS por meio de um "sequestro".

Dessa forma o malware faz com que páginas falsas sejam exibidas em sites que requisitam preenchimento de informações sensíveis tais como bancos e lojas online, que costumam requisitar logins e informações de cartões de crédito. Quando o usuário preenche essas informações, elas são enviadas diretamente ao cybercriminoso.

Uma análise mostrou que uma das versões do GhostDNS foi projetado para scannear cerca de 5 bilhões de IPs e destes, mais de 50% são do Brasil, mais de 20% são dos EUA e mais de 10% são mexicanos. 

Uma característica interessante é que o kit de invasão tinha uma regra interna onde ele excluía endereços de IP da universidade pública de Campinas e da UNICAMP, que fazem parte do Projeto de Honeypots Distribuídos que são focados em detectar ameaças direcionadas em dispositivos de internet.

"Acreditamos que os cibercriminosos desejam que o seu kit de exploração permaneça despercebido o maior tempo possível e, portanto, evitando esse intervalo conhecido dos endereços IP," explicou Simona Musilová, Analista de Ameaças da Avast.

Segundo a Avast, os sites que podem ser fraudados pelo GhostDNS são os seguintes:

• Banco Bradesco
• Itau
• Caixa
• Santander
• MercadoPago
• CrediCard
• Netflix
• Flytour Viagens
• Banco do Brasil
• Cartao UNI
• Sicoob
• Banco Original
• CitiBank
• Locaweb
• MisterMoneyBrazil
• UOL
• PayPal
• LATAM Pass
• Serasa Experian
• Sicredi
• SwitchFly
• Umbler

Ainda segundo a Avast, a análise do GhostDNS permitiu verificar que geralmente os códigos de login e senha utilizados como padrão em vários dispositivos os tornam vulneráveis, pois são conhecidos pelo malware, dessa forma o recomendado é sempre trocar a combinação de usuário e senha padrão para garantir maior segurança. Dentre os logins vulneráveis estão:

• :
• :admin
• :root
• ACESSO:@@ACESSO##POINT#@
• admin2:admin2
• admin:
• Admin:
• admin:1
• admin:123
• admin:1234
• admin:123456
• admin:1234567890
• admin:@!JHGFJH15
• admin:admin
• Admin:admin
• Admin:Admin
• admin:adsl
• admin:bigb0ss
• admin:buildc0de
• admin:bulld0gg
• admin:bullyd0gg
• admin:deadcorp2017
• admin:deadcp2017
• admin:deus1010
• admin:dn5ch4ng3
• admin:dnschange
• admin:Gidlinux2019
• admin:gpnet321
• admin:gvt12345
• admin:internet
• admin:K3LLY2016
• admin:krug3rpicao
• admin:m3g4m4ln
• admin:m3g4m4n
• admin:megaman
• admin:megaman2
• admin:mundo
• admin:p4dr40
• admin:passthehash
• admin:password
• admin:publ1c0
• admin:roteador
• admin:s1m23l
• admin:saho4001
• admin:theb0ss
• admin:thed0gg
• admin:uhuwCorp
• admin:Voltage2016
• admin:zyxel
• cisco:cisco
• deadcorp2017:deadcorp2017
• jordam:jdmadmin
• megaman:megaman
• megaman:megaman2
• provedor:MACAXEIRA
• provedor:SIERRABRAVO
• root:
• root:123
• root:44acesso22point2014
• root:admin
• root:bigb0ss
• root:buildc0de
• root:bulld0gg
• root:bullyd0gg
• root:deus1010
• root:Gidlinux2019
• root:K3LLY2016
• root:m3g4m4ln
• root:m3g4m4n
• root:root
• root:theb0ss
• root:thed0gg
• root:toor
• root:Voltage2016
• super:megaman
• super:super
• support:bigb0ss
• support:buildc0de
• support:bulld0gg
• support:bullyd0gg
• support:deus1010
• support:Gidlinux2019
• support:K3LLY2016
• support:m3g4m4ln
• support:m3g4m4n
• support:theb0ss
• support:thed0gg
• support:Voltage2016
• T1m4dm:
• T1m4dm:@T1m@dml1v@
• T1m4dm:T1m4dm
• T1m4dm:T1m@dml1v
• ubnt:ubnt
• user:
• user:megaman
• user:user

Caso você ainda esteja em dúvida se foi afetado, a Avast diz que o recurso Verificador de Wi-Fi presente em todas as versões gratuitas e pagas do seu antivírus pode verificar e diagnosticar se o seu roteador está seguro ou não. Além disso, o Avast Módulo Internet é capaz de proteger o computador de ataques CSRF que adulteram páginas do tipo.

Por fim a Avast diz que somente em 2019 ela foi responsável por bloquear mais de 7.000 tentativas de ataques do tipo que com objetivo de executar comandos sem conhecimento dos usuários, modificando DNS e adulterando páginas. Segundo a base de dados do Avast, 76% dos roteadores no Brasil tem senhas fracas, diz Simona.