La campaña de publicidad maliciosa no establece un objetivo en el navegador o en la computadora, sino en el enrutador
Los desarrolladores de malware buscan nuevas formas de infectar computadoras. El objetivo es el robo de datos, el cifrado de archivos con una demanda de rescate, la demostración de publicidad de terceros, hacer clic en el cual trae dinero a los cibercriminales. Recientemente, los expertos en seguridad de la información de Proofpoint descubrieron tal software. Y en lugar de un navegador o sistema operativo, infecta los enrutadores. Llamado el nuevo DNSChanger EK.El esquema de trabajo de los cibercriminales es relativamente simple . Compran anuncios en sitios populares e incrustan un script en este anuncio que utiliza la solicitud WebRTC al servidor STUN de Mozilla. El objetivo es determinar la IP local del usuario que visitó el sitio con pancartas publicitarias infectadas.Si la dirección pública ya se conoce o no está dentro del rango de objetivos, se muestra al usuario un banner regular de una red de publicidad de terceros. Si necesita actuar (es decir, si la red proporciona el enrutador), en este caso, el JavaScript vinculado al anuncio toma el código HTML del campo de comentarios de la imagen PNG y abre la página de inicio DNSChanger EK.
Anuncios falsos que redirigen la solicitud de un usuario al servidor de un atacanteA partir de este momento, el exploit ya comienza a funcionar. Si el enrutador del usuario es vulnerable (esto se determina automáticamente), se envía a su navegador un archivo de imagen con la clave de cifrado AES incorporada mediante esteganografía. La clave permite que el script en anuncios "envenenados" decodifique el tráfico que la PC de la víctima recibe del exploit. Al mismo tiempo, todas las operaciones cibercriminales están encriptadas para no mostrar los entresijos del proceso a especialistas en seguridad de la información.Después de que la víctima recibe la clave, el exploit envía una lista de "huellas digitales" de enrutadores. Ahora en la lista, según los expertos, ya hay más de 166 "impresiones". El script colocado en el anuncio analiza el enrutador utilizado por la víctima y envía el resultado de la prueba al servidor de explotación. Si el sistema del usuario se define como vulnerable, un ataque al dispositivo comienza utilizando un conjunto específico de herramientas de piratería o un conjunto de conjuntos de contraseña / inicio de sesión predeterminados para cada modelo de dispositivo específico.Todo esto se hace para cambiar la configuración de DNS del enrutador de la víctima, a fin de configurar la redirección de tráfico a través del servidor del atacante. La operación en sí se lleva a cabo en segundos, esto es solo una descripción del proceso en sí. Si la configuración del enrutador lo permite, los atacantes abren los puertos de control para la conexión externa para controlar los dispositivos infectados directamente. Los investigadores dicen que observaron cómo los atacantes descubrieron puertos de control para 36 enrutadores de 166 dispositivos en la lista.
Esquema de ataque de explotación de DNSChangerSi el ataque tiene éxito, la publicidad de redes como AdSupply, OutBrain, Popcash, Propellerads, Taboola en el navegador del usuario cambia los insertos publicitarios de los atacantes. Además, los anuncios ahora se muestran incluso en sitios donde no existe.Vale la pena señalar que DNSChanger tiene como objetivo atacar a los usuarios con el navegador Chrome, y no a Internet Explorer, como en la mayoría de los casos. Además, los ataques son realizados por atacantes tanto para computadoras de escritorio como para dispositivos móviles. Los anuncios se muestran tanto en computadoras de escritorio como en dispositivos móviles.Desafortunadamente, por ahora, los especialistas en seguridad de la información no pueden determinar la lista completa de rotadores vulnerables. Pero se sabe que incluye modelos de dispositivos de fabricantes como Linksys, Netgear, D-Link, Comtrend, Pirelli y Zyxel. Entre los enrutadores vulnerables, los especialistas de Proofpoint pueden nombrar dichos dispositivos:- D-Link DSL-2740R
- COMTREND Router ADSL CT-5367 C01_R12
- NetGear WNDR3400v3 (y probablemente todos los demás sistemas de la misma línea)
- Pirelli ADSL2 / 2 + Router inalámbrico P.DGA4001N
- Netgear r6200
Análisis del tráfico DNSChanger EK que pasa a través de un enrutador descifrado por ciberdelincuentesPor supuesto, el problema no es solo que la víctima vea los anuncios impuestos en su navegador. Lo principal es que los atacantes obtienen la capacidad de controlar el tráfico de usuarios, lo que significa que es posible eliminar datos de una tarjeta bancaria y robar datos personales de cualquier otro sitio, incluidas las redes sociales. Cuando se infecta un número suficientemente grande de sistemas, los ciberdelincuentes podrán formar su propia red de bots.Y está claro que, bajo el golpe caen no usuarios individuales, y todos los participantes de la red local formada por un router comprometida.Que hacer
Dado que el ataque se lleva a cabo a través del navegador del usuario, y los atacantes pueden interceptar el tráfico, simplemente cambiar la contraseña / inicio de sesión para el administrador del enrutador o deshabilitar la interfaz del administrador puede no ser suficiente.La única forma de sentirse seguro es actualizar el firmware del enrutador a la última versión, que probablemente ya incluye protección contra las acciones de exploits del paquete DNSChanger EK.El equipo de Proofpoint señala que una gran cantidad de anuncios "envenenados" colocados por ciberdelincuentes se ocultan con la ayuda de bloqueadores. Por lo tanto, los usuarios de software que bloquean este tipo de publicidad son menos vulnerables que aquellos usuarios que no intentan ocultar la publicidad.Desafortunadamente, el problema es que los fabricantes de enrutadores no son demasiado activos en el lanzamiento de actualizaciones de seguridad para sus dispositivos. Si respondieran de manera oportuna, los atacantes serían menos exitosos y mucho menos masivos.Source: https://habr.com/ru/post/es399959/
All Articles