Uma nova pesquisa da Infoblox Threat Intel revela como os invasores se infiltram silenciosamente em roteadores e redirecionam seu tráfego DNS para uma rede DNS paralela, conduzindo os usuários silenciosamente por uma teia oculta de atividades maliciosas
Imagine que você está a caminho de um restaurante novo digita o endereço no aplicativo de mapas e inicia a rota. Tudo parece normal, até você chegar a um lugar completamente diferente. Alguém desviou o aplicativo de forma silenciosa. Na maior parte do tempo, ele até leva você ao destino correto, mas, de vez em quando, faz um desvio para outro endereço que rende lucro aos responsáveis pela fraude quando você chega lá.
A mais recente campanha de ameaças descoberta pela Infoblox Threat Intel faz exatamente isso com seu roteador e, consequentemente, com sua conexão de internet. Depois que os invasores comprometem seu roteador, você pode até digitar o endereço web correto, mas outra pessoa decide para onde você será redirecionado. É importante destacar que todos os usuários da rede Wi-Fi passam pela mesma experiência.
Esta nova pesquisa mostra que o hacker se infiltra silenciosamente em roteadores mais antigos e altera um componente crítico: suas configurações de DNS. Dessa forma, todos os dispositivos que utilizam o roteador comprometido consultam os servidores DNS hospedados pela Aeza em vez dos servidores do provedor de serviços de internet (ISP). A partir daí, um Sistema de Distribuição de Tráfego (TDS) baseado em HTTP identifica os usuários e os direciona seletivamente por meio de plataformas de tecnologia de publicidade que frequentemente levam à vitimização.
O que acontece nos bastidores:
- Roteadores comprometidos ao redor do mundo: o agente compromete remotamente roteadores, especialmente modelos mais antigos, e altera suas configurações de DNS. A partir daí, todo telefone, laptop, dispositivo inteligente ou IoT conectado a esses roteadores passa a depender, por padrão, de uma infraestrutura de DNS controlada pelos atacantes. A escala é global, com os pesquisadores observando evidências de atividade em mais de três dezenas de países.
- DNS sombra hospedado na Aeza: em vez de usar os
resolvedores do provedor de internet (ISP), os roteadores comprometidos
passam a enviar todas as consultas de DNS para resolvedores hospedados na
Aeza International, uma empresa de hospedagem chamada de “bulletproof”,
sancionada pelo governo dos Estados Unidos em julho de 2025. Esses
resolvedores “sombra” normalmente respondem de forma correta a sites
grandes, como o Google, mas se comportam de maneira altamente imprevisível
para outros domínios, redirecionando usuários específicos para o TDS
malicioso dos atacantes.
- Capturando vítimas no TDS: quando o tráfego chega ao TDS, os usuários são identificados por fingerprinting e verificados para confirmar se vieram de um roteador comprometido. Ao passar por essas checagens, são redirecionados por plataformas de marketing de afiliados e, com frequência, acabam sendo levados a conteúdos maliciosos.
“A maioria das pessoas nunca pensa em quem seu roteador consulta para obter informações sobre a internet - elas simplesmente confiam que a resposta está correta”, disse Renée Burton, vice-presidente da Infoblox Threat Intel . “Esta campanha mostra o quão perigoso é quando essa confiança é silenciosamente sequestrada: uma vez que os invasores controlam o DNS no roteador, eles obtêm um controle silencioso sobre todas as conexões de internet dos dispositivos conectados a ele e podem transformar a navegação comum em um desvio lucrativo.”
A solução prática é atualizar o roteador para um modelo mais moderno. No âmbito organizacional, as equipes de TI devem tratar o DNS como uma infraestrutura crítica de segurança, implementando controles capazes de identificar e bloquear tráfego direcionado a resolvedores maliciosos conhecidos e a redes de DNS sombra.
Para mais informações e detalhes, leia nosso blog post.
Infoblox
infoblox.com
Nenhum comentário:
Postar um comentário