Malware VPNFilter em roteadores: oito fatos que você precisa saber

Vírus pode agir sem levantar suspeitas diretamente no roteador de Internet; saiba tudo sobre a ameaça

email facebook googleplus pinterest twitter whatsapp

Por Paulo Alves, para o TechTudo

O VPNFilter, malware que pode roubar senhas de usuários, já infectou pelo menos 700 mil roteadores no mundo inteiro. Apesar de ter feito vítimas principalmente na Ucrânia, a ameaça já é motivo de alerta do FBI, nos Estados Unidos, e do Ministério Público, no Brasil.

O vírus infecta o aparelho responsável por distribuir a Internet dentro de casa, e pode interferir na navegação de todos os celulares e computadores conectados. Vítimas podem ter até suas contas bancárias varridas pelos criminosos sem levantar suspeitas. Veja oito coisas que você precisa saber sobre o problema e descubra como se proteger.

Roteadores de várias marcas são vulneráveis ao malware VPNFilter (Foto: Reprodução/Pond5) Roteadores de várias marcas são vulneráveis ao malware VPNFilter (Foto: Reprodução/Pond5)

Roteadores de várias marcas são vulneráveis ao malware VPNFilter (Foto: Reprodução/Pond5)

1. O que é o VPNFilter?

O VPNFilter é um malware que infecta roteadores para manipular sites visitados por usuários na mesma rede Wi-Fi. Como a ameaça age na origem do sinal de Internet, ela não precisa afetar diretamente os smartphones e computadores das vítimas. O problema pode passar despercebido pela maioria dos usuários porque não gera alerta do antivírus no PC ou no celular. Assim, ele pode trabalhar de forma oculta, sem levantar suspeitas.

2. O que ele pode fazer?

A principal habilidade do malware é intermediar o tráfego e Internet do usuário e manipular as páginas visitadas. Ele pode tanto roubar senhas digitadas, incluindo em sites bancários, quanto criar cópias falsas da página para não deixar a vítima saber que está sendo alvo de golpe. Especialistas da Talos (braço de inteligência da Cisco) apontam que o vírus é capaz de imitar o site de um banco para exibir o seu saldo em conta intacto enquanto os hackers realizam transferências no Internet banking verdadeiro.

Malware VPNFilter em roteadores: oito fatos que você precisa saber  (Foto: Arte/TechTudo) Malware VPNFilter em roteadores: oito fatos que você precisa saber  (Foto: Arte/TechTudo)

Malware VPNFilter em roteadores: oito fatos que você precisa saber (Foto: Arte/TechTudo)

A ação do código malicioso se baseia em grande parte na sua capacidade de manipular a tecnologia HTTPS. O malware pode roubar dados sigilosos de sites sem proteção HTTPS, ou que possam ter o protocolo de segurança alterado de maneira forçada.

O VPNFilter também tem uma função de autodestruição, responsável por eliminar todos os rastros dos criminosos do roteador depois de executar o golpe.

3. Como o VPNFilter altera o HTTPS?

O HTTPS é o protocolo de Internet que mantém segura a conexão entre o usuário e o site visitado. O recurso já funciona em quase todos os sites da web, mas ainda há páginas que seguem oferecendo a opção insegura HTTP para quem tem computadores antigos. Essa fase de transição que ainda permite conexões inseguras facilita o trabalho do VPNFilter, que força a abertura das páginas na versão sem proteção mesmo que o usuário tenha um aparelho compatível com HTTPS.

O alto nível de sofisticação do VPNFilter também seria eficaz em sites como Google e Twitter, que contam com uma série de medidas de proteção contra a manipulação do HTTPS. Isso significa que até mesmo suas contas nesses dois serviços podem ser gerenciadas pelo malware em alguma medida, forçando a abertura do Gmail ou do microblog usando HTTP.

Uma vez alterado o protocolo HTTPS para HTTP, o VPNFilter ganha passe livre para espionar o tráfego, enviar informações para os criminosos e ativar novas fases do golpe, como o roubo de senhas.

HTTPS e cadeado pode ser indicativo de que o site é verdadeiro (Foto: Reprodução/Gabriel Ribeiro) HTTPS e cadeado pode ser indicativo de que o site é verdadeiro (Foto: Reprodução/Gabriel Ribeiro)

HTTPS e cadeado pode ser indicativo de que o site é verdadeiro (Foto: Reprodução/Gabriel Ribeiro)

4. Como o malware afeta o roteador?

O VPNFilter infecta roteadores com falhas de segurança ainda não corrigidas. Boa parte das brechas que permitem a ação do malware já foram solucionadas, mas os pacotes de correção nunca foram instalados pelo usuário. A instalação deve ser feita por meio da atualização do firmware do aparelho, algo raramente feito por usuários ou provedoras de serviço de Internet.

O resultado é um alto número de roteadores vulneráveis que podem ser explorados por hackers, desde que utilizem malwares altamente sofisticados como o VPNFilter. O código malicioso é capaz de identificar o modelo do roteador infectado para saber como explorar uma possível vulnerabilidade e abrir caminho para baixar demais pacotes de ataque.

5. Quais dispositivos e sistemas ele atinge?

Inicialmente se acreditava que apenas roteadores das marcas Linksys, Netgear, TP-Link e MikroTik eram vulneráveis, mas o número aumentou. Atualmente, já se sabe que produtos fabricados por Asus, D-Link, Huawei, Ubiquiti e ZTE também podem ser infectados, e outros podem entrar na lista em breve. Autoridades recomendam que os usuários considerem que seus roteadores sejam passíveis de ataque, independentemente da marca.

Como o ataque ocorre no roteador, qualquer dispositivos conectado a ele está sujeito a ter dados interceptados. Dessa maneira, usuários de Windows, macOS, Linux, Android e iPhone (iOS) são potenciais vítimas.

Roteadores afetados pelo VPNFilter

ASUS D-LINK HUAWEI MIKROTIK NETGEAR UBIQUITI TP-LINK ZTE
RT-AC66U DES-1210-08P HG8245 CCR1009 DG834 NSM2 R600VPN ZXHN H108N
RT-N10 DIR-300 LINKSYS CCR1016 DGN1000 PBE M5 TL-WR741ND
RT-N10E DIR-300A E1200 CCR1036 DGN2200 TL-WR841N
RT-N10U DSR-250N E2500 CCR1072 DGN3500
RT-N56U DSR-500N E3000 CRS109 FVS318N
RT-N66U DSR-1000 E3200 CRS112 MBRN3000
DSR-1000N E4200 CRS125 R6400
RV082 RB411 R7000
WRVS4400N RB450 R8000
RB750 WNR1000
RB911 WNR2000
RB921 WNR2200
RB941 WNR4000
RB951 WNDR3700
RB952 WNDR4000
RB960 WNDR4300
RB962 WNDR4300-TN
RB1100 UTM50
RB1200
RB2011
RB3011
RB Groove
RB Omnitik
STX5

6. O que está por trás do ataque?

O FBI considera que o nível de sofisticação do VPNFilter indica o envolvimento do governo russo. As autoridades dos EUA já teriam identificado alguns servidores ligados ao malware com pistas sobre a conexão entre os ataques e o Kremlin. O governo de Vladimir Putin nega.

7. Como saber se você é vítima?

Como a ação do VPNFilter é baseada na manipulação de HTTPS, é possível tomar medidas simples para evitar problemas. Cheque pelo rótulo verde (ou de cadeado) na barra de endereços do site visitado para ter certeza de que a proteção está ativada. É importante também verificar se o domínio do site está correto. Sites de banco, por exemplo, nunca usam domínios diferentes de .com, .com.br ou .br. Ao visitar uma página e ver apenas a inicial “https” no endereço, saiba que o tráfego poderá ser monitorado por eventuais invasores da rede, incluindo o VPNFilter.

8. Como posso me proteger?

O FBI e o Ministério Público recomendam que todos os roteadores sejam reiniciados para interromper o funcionamento do VPNFilter. No entanto, dificilmente a medida será suficiente contra um malware tão perigoso. Para garantir proteção, é importante atualizar o firmware do roteador para aplicar correções às falhas de segurança existentes, além de desativar o gerenciamento remoto e trocar os dados de login e senha de acesso do aparelho.

Como configurar a senha do seu roteador Wi-Fi

Como configurar a senha do seu roteador Wi-Fi

MAIS DO TechTudo