O pequeno aparelho que está por trás de bilhões de mensagens de smishing

No mundo cada vez mais conectado, as ameaças cibernéticas evoluem de formas imprevisíveis, e uma recente investigação da Sekoia expõe um esquema alarmante: criminosos estão usando roteadores industriais comuns para inundar milhões de pessoas com mensagens de smishing ao redor do globo.

Esse tipo de phishing via SMS, que engana usuários para roubar dados sensíveis, ganha uma camada extra de sofisticação com dispositivos legítimos transformados em ferramentas de crime.

O smishing – phishing realizado via SMS – é uma das técnicas favoritas de criminosos para enganar usuários e roubar dados sensíveis. Diferente dos e-mails tradicionais, essas mensagens chegam diretamente no bolso, criando uma sensação de urgência que leva a cliques impulsivos. A investigação da Sekoia revela como essa tática está sendo escalada para níveis bilionários, afetando vítimas em múltiplos países.

Roteadores comprometidos: o coração da operação

De acordo com os pesquisadores, roteadores Milesight UR35 – dispositivos compactos frequentemente instalados em ambientes industriais e comerciais – foram comprometidos e transformados em estrutura para campanhas massivas de fraude digital. Estes equipamentos são normalmente encontrados em armários de manutenção ou áreas de serviço, passando despercebidos enquanto enviam milhares de mensagens maliciosas.

A investigação identificou 572 roteadores vulneráveis sendo utilizados nessas operações criminosas. A maioria deles executa versões de firmware antigas (32 ou anteriores), o que sugere falta de atualizações de segurança por parte dos proprietários destes equipamentos.

O roteador industrial Milesight UR35, usado em ambientes industriais, está sendo explorado por criminosos para enviar bilhões de mensagens de smishing globalmente.

A vulnerabilidade que abre as portas

Uma possível explicação para a invasão desses dispositivos seria a vulnerabilidade CVE-2023-43261, descoberta em 2023 pelo pesquisador Bipin Jitiya. Este problema de segurança, corrigido na versão 35.3.0.7 do firmware, permitia que arquivos do armazenamento do roteador ficassem publicamente disponíveis através da interface web, incluindo senhas criptografadas de contas administrativas.

No entanto, os investigadores da Sekoia encontraram evidências contraditórias sobre o método exato de comprometimento. Um cookie de autenticação encontrado em um dos roteadores hackeados “não pode ser descriptografado usando a chave e IV descritos no artigo” sobre a vulnerabilidade. Além disso, alguns dos dispositivos comprometidos executavam versões de firmware que não eram suscetíveis à falha CVE-2023-43261.

Táticas de phishing cada vez mais espertas

Os sites de phishing utilizados nestas campanhas empregam técnicas sofisticadas para evitar detecção. Por exemplo, o código JavaScript presente nas páginas impede a entrega de conteúdo malicioso a menos que o site seja acessado a partir de um dispositivo móvel – exatamente o cenário típico quando uma vítima clica em um link recebido por SMS.

Alguns sites também implementam medidas anti-análise, como desabilitar cliques com o botão direito e ferramentas de depuração do navegador, dificultando o trabalho de pesquisadores de segurança. A investigação revelou ainda que parte dessas páginas fraudulentas registra interações dos visitantes através de um bot do Telegram conhecido como GroozaBot, operado por um ator identificado como “Gro_oza”, que aparentemente domina tanto o árabe quanto o francês.

Você também pode gostar dos artigos abaixo:

Fonte: Hardware.com.br