VPNFilter, malware que pode roubar senhas de usuários, já infectou pelo menos 700 mil roteadores no mundo inteiro. Apesar de ter feito vítimas principalmente na Ucrânia, a ameaça já é motivo de alerta do FBI, nos Estados Unidos, e do Ministério Público, no Brasil.
O vírus infecta o aparelho responsável por distribuir a Internet dentro de casa, e pode interferir na navegação de todos os celulares e computadores conectados. Vítimas podem ter até suas contas bancárias varridas pelos criminosos sem levantar suspeitas. Veja oito coisas que você precisa saber sobre o problema e descubra como se proteger.
Roteadores de várias marcas são vulneráveis ao malware VPNFilter (Foto: Reprodução/Pond5)
1. O que é o VPNFilter?
O VPNFilter é um malware que infecta roteadores para manipular sites visitados por usuários na mesma rede Wi-Fi. Como a ameaça age na origem do sinal de Internet, ela não precisa afetar diretamente os smartphones e computadores das vítimas. O problema pode passar despercebido pela maioria dos usuários porque não gera alerta do antivírus no PC ou no celular. Assim, ele pode trabalhar de forma oculta, sem levantar suspeitas.
2. O que ele pode fazer?
A principal habilidade do malware é intermediar o tráfego e Internet do usuário e manipular as páginas visitadas. Ele pode tanto roubar senhas digitadas, incluindo em sites bancários, quanto criar cópias falsas da página para não deixar a vítima saber que está sendo alvo de golpe. Especialistas da Talos (braço de inteligência da Cisco) apontam que o vírus é capaz de imitar o site de um banco para exibir o seu saldo em conta intacto enquanto os hackers realizam transferências no Internet banking verdadeiro.
Malware VPNFilter em roteadores: oito fatos que você precisa saber (Foto: Arte/TechTudo)
A ação do código malicioso se baseia em grande parte na sua capacidade de manipular a tecnologia HTTPS. O malware pode roubar dados sigilosos de sites sem proteção HTTPS, ou que possam ter o protocolo de segurança alterado de maneira forçada.
O VPNFilter também tem uma função de autodestruição, responsável por eliminar todos os rastros dos criminosos do roteador depois de executar o golpe.
3. Como o VPNFilter altera o HTTPS?
O HTTPS é o protocolo de Internet que mantém segura a conexão entre o usuário e o site visitado. O recurso já funciona em quase todos os sites da web, mas ainda há páginas que seguem oferecendo a opção insegura HTTP para quem tem computadores antigos. Essa fase de transição que ainda permite conexões inseguras facilita o trabalho do VPNFilter, que força a abertura das páginas na versão sem proteção mesmo que o usuário tenha um aparelho compatível com HTTPS.
O alto nível de sofisticação do VPNFilter também seria eficaz em sites como Google e Twitter, que contam com uma série de medidas de proteção contra a manipulação do HTTPS. Isso significa que até mesmo suas contas nesses dois serviços podem ser gerenciadas pelo malware em alguma medida, forçando a abertura do Gmail ou do microblog usando HTTP.
Uma vez alterado o protocolo HTTPS para HTTP, o VPNFilter ganha passe livre para espionar o tráfego, enviar informações para os criminosos e ativar novas fases do golpe, como o roubo de senhas.
4. Como o malware afeta o roteador?
O VPNFilter infecta roteadores com falhas de segurança ainda não corrigidas. Boa parte das brechas que permitem a ação do malware já foram solucionadas, mas os pacotes de correção nunca foram instalados pelo usuário. A instalação deve ser feita por meio da atualização do firmware do aparelho, algo raramente feito por usuários ou provedoras de serviço de Internet.
O resultado é um alto número de roteadores vulneráveis que podem ser explorados por hackers, desde que utilizem malwares altamente sofisticados como o VPNFilter. O código malicioso é capaz de identificar o modelo do roteador infectado para saber como explorar uma possível vulnerabilidade e abrir caminho para baixar demais pacotes de ataque.
5. Quais dispositivos e sistemas ele atinge?
Inicialmente se acreditava que apenas roteadores das marcas Linksys, Netgear, TP-Link e MikroTik eram vulneráveis, mas o número aumentou. Atualmente, já se sabe que produtos fabricados por Asus, D-Link, Huawei, Ubiquiti e ZTE também podem ser infectados, e outros podem entrar na lista em breve. Autoridades recomendam que os usuários considerem que seus roteadores sejam passíveis de ataque, independentemente da marca.
Como o ataque ocorre no roteador, qualquer dispositivos conectado a ele está sujeito a ter dados interceptados. Dessa maneira, usuários de Windows, macOS, Linux, Android e iPhone (iOS) são potenciais vítimas.
6. O que está por trás do ataque?
O FBI considera que o nível de sofisticação do VPNFilter indica o envolvimento do governo russo. As autoridades dos EUA já teriam identificado alguns servidores ligados ao malware com pistas sobre a conexão entre os ataques e o Kremlin. O governo de Vladimir Putin nega.
7. Como saber se você é vítima?
Como a ação do VPNFilter é baseada na manipulação de HTTPS, é possível tomar medidas simples para evitar problemas. Cheque pelo rótulo verde (ou de cadeado) na barra de endereços do site visitado para ter certeza de que a proteção está ativada. É importante também verificar se o domínio do site está correto. Sites de banco, por exemplo, nunca usam domínios diferentes de .com, .com.br ou .br. Ao visitar uma página e ver apenas a inicial “https” no endereço, saiba que o tráfego poderá ser monitorado por eventuais invasores da rede, incluindo o VPNFilter.
8. Como posso me proteger?
O FBI e o Ministério Público recomendam que todos os roteadores sejam reiniciados para interromper o funcionamento do VPNFilter. No entanto, dificilmente a medida será suficiente contra um malware tão perigoso. Para garantir proteção, é importante atualizar o firmware do roteador para aplicar correções às falhas de segurança existentes, além de desativar o gerenciamento remoto e trocar os dados de login e senha de acesso do aparelho.