Erros, Notícias

Milhares de roteadores D-Link estão sob o controle da botnet AryStinger

por Pieter Arntz | 22 de junho de 2026
Rede D-Link
Adicionar como fonte preferencial no Google

Pesquisadores descobriram que a botnet AryStinger, recentemente identificada, sequestrou discretamente milhares de roteadores D-Link em fim de vida útil e alguns dispositivos de armazenamento conectado à rede (NAS), transformando-os em uma rede distribuída de varredura e proxy que os invasores podem usar para ocultar suas atividades e lançar ataques contra outros alvos. 

Ter seus dispositivos sob o controle de uma botnet não é apenas um problema para as pessoas que estão sendo alvo desses ataques. Isso também pode colocar em risco sua própria privacidade e segurança. 

A botnet AryStinger é composta principalmente por roteadores D-Link DIR-850L e DIR-818LW comprometidos. Embora esses dispositivos já tenham ultrapassado há muito tempo o fim de sua vida útil, eles ainda são amplamente utilizados em residências e pequenos escritórios, o que os torna alvos atraentes para os operadores de botnets.

Os invasores exploraram vulnerabilidades divulgadas há 13 anos para comprometer um grande número de roteadores. De acordo com os pesquisadores:

“Pelo menos 4.300 roteadores em todo o mundo já foram infectados, e esse número continua aumentando continuamente.”

Ao terem como alvo roteadores que não recebem mais suporte do fabricante, os invasores obtêm acesso a dispositivos que nunca receberão atualizações de segurança, mas que permanecem conectados à internet.

O AryStinger transforma cada dispositivo infectado no que os pesquisadores chamam de “Executor”: um nó controlado remotamente capaz de escanear redes, atuar como proxy, criar túneis e executar comandos em nome do invasor.

O controlador da botnet divide grandes tarefas de reconhecimento em várias tarefas menores e as distribui entre esses Executors, transformando, de fato, uma frota de roteadores domésticos em uma plataforma de varredura em grande escala.

O principal objetivo da botnet é realizar reconhecimento em grande escala. O controlador pode:

  • Envie tarefas de varredura (para intervalos de IP, portas abertas, registros DNS) para vários Executors em paralelo.
  • Use esses resultados para mapear redes, identificar novos serviços vulneráveis e preparar novas invasões (“footprinting”).

Para os proprietários de dispositivos infectados, uma característica ainda mais preocupante é a capacidade do AryStinger de alterar as configurações de DNS. Isso permite que os invasores:

  • Redirecionar o tráfego do navegador das vítimas para páginas de phishing ou sites que hospedam malware.
  • Monitore discretamente e, eventualmente, roube todo o tráfego de rede de entrada e saída que passa pelo roteador ou pelo NAS.

Isso pode colocar em risco dispositivos que, de outra forma, estariam bem protegidos. Celulares, tablets e laptops conectados ao roteador comprometido também podem ter seu tráfego redirecionado.

Como saber se você foi afetado

Para os proprietários de um roteador ou NAS afetado, os sinais imediatos podem ser sutis ou inexistentes. Os possíveis indicadores podem ser:

  • Conectividade um pouco mais lenta
  • Falhas ou redirecionamentos ocasionais e inexplicáveis no DNS
  • Picos no tráfego de saída em horários incomuns

Mas os riscos subjacentes são suficientemente graves:

  • Privacy:Os invasores podem conseguir inspecionar ou redirecionar seu tráfego, podendo capturar nomes de usuário, senhas, cookies de sessão ou outros dados confidenciais.
  • Responsabilidade e reputação:Seu endereço IP pode ser usado para fraudes, ataques de “credential stuffing”, assédio ou outras atividades criminosas, o que pode chamar a atenção de provedores de serviços ou das autoridades — algo já observado em outras redes de bots proxy.
  • Acesso à sua rede:especialmente em dispositivos NAS comprometidos, os invasores podem conseguir mapear redes internas e procurar outros sistemas para atacar.

O que fazer

Esta não é a primeira vez que invasores criam uma botnet a partir de equipamentos de rede abandonados. Infelizmente, a solução mais eficaz é também a menos popular: substituir roteadores e dispositivos NAS que chegaram ao fim da vida útil.

Se essa não for uma opção imediata, há algumas medidas que você pode tomar para tornar seu dispositivo mais difícil de ser invadido:

  • Instale a versão mais recente do firmwaredisponível para o seu dispositivo, mesmo que ele já seja antigo, e verifique se há alertas de segurança do fabricante sobre vulnerabilidades conhecidas.
  • Altere a senha padrão do administradorpara uma senha ou frase-senha exclusiva e segura; nunca reutilize senhas de outras contas.
  • Desative o gerenciamento remotopela internet (WAN). Acesse a interface de administração apenas de dentro da rede da sua casa ou do seu escritório.
  • Usea criptografia sem fio WPA2 ou WPA3e uma senha de Wi-Fi forte para reduzir o risco de uso indevido local.
  • Se o seu roteador for compatível,desative os serviços não utilizados, como o UPnP no lado da WAN ou protocolos de acesso remoto obsoletos.
  • Execute uma verificação antimalware nos computadores e outros dispositivos conectados ao roteador para verificar se algum deles foi infectado separadamente enquanto o tráfego estava sendo adulterado.

Mesmo que você siga todas essas recomendações, um roteador em fim de vida útil deve ser considerado não confiável. Planeje substituí-lo assim que possível.

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Golpes
Aviso do correio de voz

Golpes relacionados à entrega de documentos: o que são e qual é o objetivo deles?

Junho 22, 2026

Uma mensagem de voz que parecia oficial acabou sendo um golpe. Saiba como funcionam os golpes envolvendo entrega de documentos e o que fazer caso receba uma mensagem desse tipo.

Notícias
semana em segurança

Uma semana no setor de segurança ( 15 de junho – 21 de junho)

Junho 22, 2026

Uma lista dos assuntos que abordamos na semana de 15 a 21 de junho de 2026

Notícias
Prendimento à distância SocGolish

Quase 15.000 sites infectados foram limpos na operação contra o SocGholish

Junho 19, 2026

Milhares de sites comuns foram limpos como parte de uma operação global que teve como alvo a rede de malware responsável por golpes envolvendo atualizações falsas de navegadores.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes