Milhões de internautas brasileiros foram vítimas de um ataque que invadiu e alterou as configurações de modems DSL (banda larga), fazendo com que as visitas ao Google ou Facebook, por exemplo, fossem redirecionadas para sites falsos. Essas páginas, por sua vez, infectavam o micro com malware capaz de roubar dados bancários.
O ataque infectou mais de 4,5 milhões de modems DSL, disse o analista de malware da Kaspersky Lab no Brasil, Fabio Assolini, em post no blog da empresa.
A vulnerabilidade explorada pelos crackers permitia o uso de um código (script) simples para roubar senhas e acessar remotamente a configuração dos modems. A alteração fazia com que, ao digitar um site, como www.meubanco.com.br, o internauta fosse parar em um site clonado, que injetava um código malicioso no sistema.
“Esse golpe, em ação desde 2011, explora uma vulnerabilidade de firmware, dois scripts maliciosos e 40 servidores DNS maliciosos. Ele afeta seis fabricantes de hardware, resultando em milhões de internautas brasileiros vítimas de um ataque em massa contínuo e silencioso”, diz Assolini.
Tempestade perfeita
O expert disse que o ataque em massa foi o resultado de uma “tempestade perfeita”, provocada pela omissão de uma variedade de elementos-chave, incluindo provedores, fabricantes de modem, e da Anatel, agência que aprova os dispositivos de rede, mas não testou a segurança de qualquer um dos modems (no entanto, não é atribuição da agência fazer essa verificação).
Ainda não está claro quais fabricantes e modelos de modem são suscetíveis aos ataques. Assolini explica que a vulnerabilidade, divulgada no início de 2011, parece ser causada por um driver de chipset em modems que usam hardware Broadcom.
O expert não sabe exatamente quando, mas crackers começaram a explorar a falha com sucesso contra milhões de modems brasileiros. Além de apontar os dispositivos para servidores maliciosos DNS, eles também mudaram as senhas de dispositivo para tornar mais difícil para as vítimas consertarem a alteração.
Os ataques foram registrados em modems de seis fabricantes, dos quais cinco são populares no Brasil. “A negligência dos fabricantes e dos provedores e a ignorância dos órgãos oficiais do governo criaram uma” tempestade perfeita, permitindo aos cibercriminosos atacar à vontade”, escreveu o especialista.
Somente um dos 40 servidores DNS usados no ataque – a maioria fora do País – revelou que mais de 14 mil vítimas o acessaram. Assolini exibiu uma conversa online em que um dos crackers disse ter ganhado “mais de 100 mil reais” e que iria usar o dinheiro em viagens para o Rio de Janeiro na companhia de prostitutas.
Proteção
Como o golpe atinge os modems, não há muito o que o usuário comum possa fazer para evitá-lo. Uma dica é atualizar o firmware do dispositivo – para isso, veja as instruções no manual. Se você desconfiar que está visitando um site clonado – por exemplo, o Facebook ou o Google pede para instalar um plugin – veja como resetar o modem para as configurações de fábrica.