Uma variante do malware Mirai está colocando em risco os roteadores D-Link da série DIR-823-X, possibilitando que hackers adquiram controle dos dispositivos de forma silenciosa. A ameaça foi identificada pela primeira vez no início de março de 2023, de acordo com a análise da empresa de segurança Akamai.
A falha que possibilita a invasão é uma injeção de comandos, descoberta por pesquisadores Wang Jinshuai e Zhao Jiangting há 13 meses. Eles publicaram uma prova de conceito da vulnerabilidade no GitHub, mas a removeram posteriormente.
Atualmente, a ameaça se concretizou no mundo real, afetando as versões de firmware 240126 e 24082, que possibilitam a execução de comandos remotos não autorizados. O processo de invasão se inicia com o envio de solicitações manipuladas a um ponto de acesso vulnerável, permitindo o download e execução de um script de um endereço externo diretamente no roteador.
Essa invasão instala o malware tuxnokill, uma variante do Mirai, que é compatível com diversos sistemas operacionais. Como resultado, o roteador se transforma em um robô de botnet, integrando-se a ataques de negação de serviço (DDoS). Embora os roteadores D-Link sejam os mais afetados, marcas como TP-Link e ZTE também podem ser alvo desse tipo de ataque.
A vulnerabilidade da D-Link é acentuada pelo fato de que a série DIR-823-X atingiu o fim de seu ciclo de suporte oficial em novembro de 2024. Isso significa que a fabricante não fornecerá mais suporte técnico ou atualizações para esses modelos. A D-Link raramente faz exceções para aparelhos descontinuados, o que torna improvável a liberação de alguma proteção contra essa ameaça.
Para os usuários que ainda possuem um roteador mais antigo da marca, especialistas recomendam a substituição por modelos mais recentes que tenham suporte ativo. Caso a troca não seja uma opção viável, é aconselhável desativar o acesso remoto no painel de administração, alterar a senha padrão e monitorar atentamente qualquer alteração inesperada nas configurações de rede.
