Em comunicado recente, a Talos, divisão de inteligência de segurança da Cisco, afirma que as primeiras análises indicavam que o VPNFilter estava orientado a realizar ações ofensivas, como derrubar ou invadir um servidor específico. Mas, agora, sabe-se que o malware também pode interceptar tráfego para, por exemplo, injetar código malicioso nas páginas exibidas no navegador. Conforme explicado anteriormente, o malware age em três etapas. Na primeira, ele é instalado no roteador e fica ativo até o equipamento ser reiniciado. Na segunda, o malware é capaz de coletar dados e executar comandos. Na terceira, o VPNFilter acessa módulos que auxiliam as ações da segunda fase. Os pesquisadores agora sabem que, na última etapa, a praga pode interceptar dados dos dispositivos que estão na mesma rede do equipamento infectado. É um ataque do tipo man-in-the-middle: o tráfego interceptado recebe código malicioso que pode ser usado, por exemplo, para modificar o conteúdo de uma página sem que o usuário perceba. Note que o site não é afetado no servidor; a página carregada no navegador é que é modificada. O malware consegue até analisar a URL para encontrar sinais de que informações sensíveis estão sendo trafegadas, como senhas e identidade do usuário. Na interceptação, o VPNFilter pode ainda tentar rebaixar uma conexão de HTTPS para HTTP e, assim, capturar dados em texto plano.
Outro detalhe preocupante é o fato de o malware estar sendo usado para ações cuidadosamente selecionadas — como esvaziar a conta bancária de uma única pessoa — e não para interceptar a maior quantidade de dados possível, o que poderia facilitar o rastreamento e a mitigação da praga.
Equipamentos afetados
Os pesquisadores da Talos explicam que a lista de equipamentos vulneráveis aumentou consideravelmente. Entre eles estão roteadores e outros equipamentos de rede de marcas como Asus, D-Link e Huawei: Asus:
RT-AC66U (novo)RT-N10 (novo)RT-N10E (novo)RT-N10U (novo)RT-N56U (novo)RT-N66U (novo)
D-Link:
DES-1210-08P (novo)DIR-300 (novo)DIR-300A (novo)DSR-250N (novo)DSR-500N (novo)DSR-1000 (novo)DSR-1000N (novo)
Huawei:
HG8245 (novo)
Linksys:
E1200E2500E3000 (novo)E3200 (novo)E4200 (novo)RV082 (novo)WRVS4400N
Mikrotik:
CCR1009 (novo)CCR1016CCR1036CCR1072CRS109 (novo)CRS112 (novo)CRS125 (novo)RB411 (novo)RB450 (novo)RB750 (novo)RB911 (novo)RB921 (novo)RB941 (novo)RB951 (novo)RB952 (novo)RB960 (novo)RB962 (novo)RB1100 (novo)RB1200 (novo)RB2011 (novo)RB3011 (novo)RB Groove (novo)RB Omnitik (novo)STX5 (novo)
Netgear:
DG834 (novo)DGN1000 (novo)DGN2200DGN3500 (novo)FVS318N (novo)MBRN3000 (novo)R6400R7000R8000WNR1000WNR2000WNR2200 (novo)WNR4000 (novo)WNDR3700 (novo)WNDR4000 (novo)WNDR4300 (novo)WNDR4300-TN (novo)UTM50 (novo)
QNAP:
TS251TS439 ProOutros dispositivos QNAP NAS com QTS
TP-Link:
R600VPNTL-WR741ND (novo)TL-WR841N (novo)
Ubiquiti:
NSM2 (novo)PBE M5 (novo)
Upvel:
Modelos desconhecidos (novo)
ZTE:
ZXHN H108N (novo)
Não há maneira fácil de saber se um dispositivo está infectado, mas cuidados básicos ajudam na prevenção, como trocar a senha padrão do roteador e instalar a versão mais recente do firmware disponibilizado para o equipamento. Com informações: Ars Technica.