Erros, Notícias

Milhares de routers D-Link sob o controlo da botnet AryStinger

por Pieter Arntz | 22 de junho de 2026
Rede D-Link
Adicionar como fonte preferencial no Google

Os investigadores descobriram que a botnet AryStinger, recentemente descoberta, sequestrou discretamente milhares de routers D-Link em fim de vida útil e alguns dispositivos de armazenamento ligados à rede (NAS), transformando-os numa rede distribuída de varredura e proxy que os atacantes podem utilizar para ocultar a sua atividade e lançar ataques contra outros alvos. 

Ter os seus dispositivos sob o controlo de uma botnet não é apenas um problema para as pessoas que são alvo desses ataques. Também pode colocar a sua própria privacidade e segurança em risco. 

A botnet AryStinger é constituída principalmente por routers D-Link DIR-850L e DIR-818LW que foram comprometidos. Embora estes dispositivos já tenham ultrapassado há muito o fim do seu ciclo de vida, continuam a ser amplamente utilizados em residências e pequenos escritórios, o que os torna alvos atraentes para os operadores de botnets.

Os atacantes exploraram vulnerabilidades divulgadas há 13 anos para comprometer um grande número de routers. Segundo os investigadores:

«Pelo menos 4 300 routers em todo o mundo já foram infetados, e o número continua a aumentar.»

Ao visarem routers que já não são suportados pelo fabricante, os atacantes obtêm acesso a dispositivos que nunca receberão correções de segurança, mas que permanecem ligados à Internet.

O AryStinger transforma cada dispositivo infetado naquilo a que os investigadores chamam de «Executor»: um nó controlado remotamente que pode analisar redes, funcionar como proxy, criar túneis e executar comandos em nome do atacante.

O controlador da botnet divide as grandes tarefas de reconhecimento em várias tarefas mais pequenas e distribui-as por estes «Executores», transformando, na prática, uma frota de routers domésticos numa plataforma de análise em grande escala.

O principal objetivo da botnet é a reconhecimento em grande escala. O controlador pode:

  • Enviar tarefas de análise (para intervalos de IP, portas abertas, registos DNS) para vários Executors em paralelo.
  • Utilize esses resultados para mapear redes, identificar novos serviços vulneráveis e preparar novos ataques («footprinting»).

Para os proprietários de dispositivos infetados, uma funcionalidade ainda mais preocupante é a capacidade do AryStinger de alterar as definições de DNS. Isto permite que os atacantes:

  • Redirecionar o tráfego do navegador das vítimas para páginas de phishing ou sites que alojam malware.
  • Monitorizar discretamente e, potencialmente, roubar todo o tráfego de rede de entrada e saída que passa pelo router ou pelo NAS.

Isto pode colocar em risco dispositivos que, de outra forma, estariam bem protegidos. Os telemóveis, tablets e computadores portáteis ligados ao router comprometido também podem ser redirecionados.

Como saber se foi afetado

Para os proprietários de um router ou NAS afetado, os sinais imediatos podem ser subtis ou inexistentes. Os possíveis indicadores podem ser:

  • Ligação ligeiramente mais lenta
  • Falhas ou redirecionamentos ocasionais e inexplicáveis do DNS
  • Picos no tráfego de saída em horários invulgares

Mas os riscos subjacentes são suficientemente graves:

  • Privacy:Os atacantes podem conseguir inspecionar ou redirecionar o seu tráfego, podendo capturar nomes de utilizador, palavras-passe, cookies de sessão ou outros dados sensíveis.
  • Responsabilidade e reputação:O seu endereço IP pode ser utilizado para fraude, «credential stuffing», assédio ou outras atividades criminosas, o que pode atrair a atenção de prestadores de serviços ou das autoridades — algo que já se verificou noutras botnets de proxy.
  • Acessar a sua rede:Especialmente em dispositivos NAS comprometidos, os atacantes podem conseguir mapear as redes internas e procurar sistemas adicionais para atacar.

O que fazer

Esta não é a primeira vez que os atacantes criam uma botnet a partir de equipamento de rede abandonado. Infelizmente, a solução mais eficaz é também a menos popular: substituir os routers e os dispositivos NAS que chegaram ao fim da sua vida útil.

Se essa não for uma opção imediata, existem algumas medidas que pode tomar para tornar o seu dispositivo mais difícil de ser comprometido:

  • Instale a versão mais recente do firmwaredisponível para o seu dispositivo, mesmo que este seja antigo, e consulte os avisos de segurança do fabricante relativos a vulnerabilidades conhecidas.
  • Altere a palavra-passe predefinida do administradorpara uma palavra-passe ou frase-passe única e segura; nunca reutilize palavras-passe de outras contas.
  • Desative a gestão remotaa partir da Internet (WAN). Aceda à interface de administração apenas a partir da rede da sua casa ou do seu escritório.
  • Utilizea encriptação sem fios WPA2 ou WPA3e uma palavra-passe Wi-Fi forte para reduzir o risco de abuso local.
  • Se o seu router suportar essa funcionalidade,desative os serviços que não estiver a utilizar, tais como o UPnP no lado da WAN ou protocolos de acesso remoto mais antigos.
  • Execute uma verificação antimalware nos computadores e outros dispositivos ligados ao router para verificar se algum deles foi infetado separadamente enquanto o tráfego estava a ser adulterado.

Mesmo que aplique todas estas recomendações, um router em fim de vida útil deve ser considerado não fiável. Planeie substituí-lo assim que possível.

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Fraudes
Aviso do correio de voz

Golpes relacionados com a entrega de documentos: o que são e qual é o seu objetivo?

junho 22, 2026

Uma mensagem de voz que parecia ser oficial acabou por ser um esquema fraudulento. Saiba como funcionam os esquemas fraudulentos relacionados com a entrega de documentos e o que fazer caso receba uma mensagem deste tipo.

Notícias
semana da segurança

Uma semana no mundo da segurança ( 15 de junho – 21 de junho)

junho 22, 2026

Uma lista dos temas que abordámos na semana de 15 a 21 de junho de 2026

Notícias
Detenção à distância SocGolish

Quase 15 000 sites infetados foram limpos na operação de combate ao SocGholish

junho 19, 2026

Milhares de sites comuns foram limpos no âmbito de uma operação global que teve como alvo a rede de malware responsável por esquemas fraudulentos de atualizações falsas de navegadores.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes