TP-Link: milhares de roteadores foram infectados para espalhar malware

por | |
Roteador Wi-Fi 6 TP-Link Archer AX23
Roteador TP-Link da linha Archer AX é alvo de botnet que infectou dispositivos no Brasil (foto: Lucas Braga/Tecnoblog)

A Cato Networks, empresa de cibersegurança, revelou nesta semana um ataque a roteadores da TP-Link que permitiu a criação de uma botnet, batizada de Ballista pela companhia. A empresa detectou a campanha de ataque no dia 10 de janeiro deste. Segundo a Cato, o ataque foi organizado por algum grupo cracker localizado na Itália, já que o IP está endereçado no país e há strings em italiano no malware.

Como funciona a botnet detectada pela Cato?

A Cato explica que a botnet Ballista utiliza uma vulnerabilidade de execução de código nos roteadores TP-Link Archer AX-21. Usando outro ataque do tipo injeção de comando, um malware era baixado e executado no dispositivo. Esse malware então tentava infectar outros dispositivos pela internet usando a vulnerabilidade CVE-2023-1389 — o 2023 indica o ano de descoberta da falha.

Roteadores Wi-Fi de internet (ilustração: Vitor Pádua / Tecnoblog)
Roteadores Wi-Fi infectados formavam (ilustração: Vitor Pádua / Tecnoblog)

Outras campanhas de botnets, como o Mirai, Condi e AndroxGh0St utilizavam a mesma vulnerabilidade para infectar dispositivos. Vale lembrar que botnets também são capazes de infectar dispositivos de internet das coisas — a Ballista também os tinha como alvo.

Com a botnet, o grupo cracker realizar ataques DDoS aos serviços de operadoras de plano de saúde, empresas de tecnologia, fábricas e outros serviços. Os alvos são localizados no México, Estados Unidos, Austrália e China.

Quais são os lugares mais afetados pela botnet?

Segundo a Cato, a maioria dos roteadores infectados estão no Brasil, Polônia, Reino Unido, Bulgária e Turquia. Sim, o uso do verbo “estar” no presente está correto. A última ação da botnet ocorreu em 17 de fevereiro.

No fim de 2024, os Estados Unidos levantaram a hipótese de proibir a venda de roteadores da TP-Link no país por conta dos riscos de segurança.

Se você possui um roteador TP-Link Archer AX-21, é necessário atualizar o firmware do produto. Isso pode ser feito no site da TP-Link. Todavia, existe a possibilidade do firmware não estar disponível para o Brasil, já que ele é liberado por regiões.

Com informações de Cato Networks e Tom’s Guide

TP-Link: milhares de roteadores foram infectados para espalhar malware

Adicionar aos favoritos o Link permanente.