Algumas semanas atrás, o mundo ficou a saber que um malware sofisticado chamado VPNFilter infectou mais de 500.000 routers e outros dispositivos em todo o mundo. O VPNFilter foi detectado em 54 países, mas um aumento de atividade na Ucrânia levou à conclusão que o malware foi criado pelos sistemas de inteligência russos para atrapalhar a Ucrânia antes da final da Liga dos Campeões no final de maio, ou antes das celebrações locais no final de junho.
O Kremlin negou qualquer envolvimento no VPNFilter, é claro. Desde então, o FBI emitiu um aviso para os utilizadores da Internet reiniciarem os seus routers. A equipa de segurança Talos da Cisco tem agora mais informações acerca do VPNFilter, que revelam que o malware é ainda mais perigoso e assustador do que pensávamos.
O VPNFilter tem como alvo ainda mais dispositivos do que foi reportado pela primeira vez, incluindo modelos da ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE, além de novos modelos de fabricantes, incluindo Linksys, MikroTik, Netgear e TP-Link. Até 200.000 routers adicionais em todo o mundo correm o risco de serem infectados.
Mas isto não é tudo. A Cisco descobriu que o malware tem a capacidade de realizar ataques man-in-the-middle. Isto significa que o malware pode injetar conteúdo malicioso no tráfego que passa pelo router infectado e seus alvos.
Da mesma forma, ele pode roubar as credenciais de login que estão a ser transmitidas entre um computador e um site. Os nomes de utilizadores e palavras-passe podem ser copiados e enviados para servidores controlados pelos criminosos. Como é que isto é possível? O VPNFilter passa as ligações HTTPS para HTTP, o que significa que o malware tenta desativar a encriptação.
Assim, a Cisco acredita que a ameaça VPNFilter é maior do que se acreditava inicialmente.
O malware também consegue descarregar um módulo de autodestruição que limpa o dispositivo e o reinicia.
Livrar-se do VPNFilter não é uma tarefa fácil. O malware é construído de tal forma que um ataque Stage 1 atua como uma backdoor em dispositivos que podem ser infectados, e é utilizado para descarregar cargas adicionais, Stages 2 e 3, que trazem as funcionalidades mais sofisticadas, incluindo ataques man-in-the-middle e auto-destruição.
Todos os proprietários de routers devem assumir desde o início que o seu dispositivo foi infectado e realizar um restauro de fábrica, seguido por uma atualização de software que poderia remover as vulnerabilidades do dispositivo para a infecção no Estágio 1. A alteração das palavras-passe padrão também é recomendada, assim como a desativação da administração remota. Reiniciar o dispositivo como o FBI aconselhou pode não ser suficiente.
