Un grupo de delincuentes cibern茅ticos ha explotado durante mucho tiempo la vulnerabilidad en varios modelos de enrutadores Dlink. El agujero encontrado le permite cambiar de forma remota la configuraci贸n del servidor DNS del enrutador para redirigir al usuario del dispositivo al recurso creado por los propios atacantes. Lo que m谩s depende de la elecci贸n de los propios ciberdelincuentes: pueden robar las cuentas de las v铆ctimas u ofrecer servicios que parecen un servicio completamente "blanco" del banco.
La vulnerabilidad es relevante para modelos como DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B y DSL-526B. Raramente los actualiza nadie, por lo que los atacantes pueden usar las vulnerabilidades de firmware obsoleto sin problemas. Los detalles se pueden leer en detalle
aqu铆 y
aqu铆 .
Los primeros en
conocer el problema fueron los representantes de Radware, una empresa de seguridad cibern茅tica. Al final result贸 que todo esto fue concebido por los ciberdelincuentes para obtener acceso a las cuentas de los clientes de los dos bancos brasile帽os m谩s grandes: Banco de Brasil y Unibanco. En lugar de servidores de redes bancarias, los usuarios fueron llevados a servidores controlados por piratas inform谩ticos.
Al mismo tiempo, los usuarios no pod铆an entender lo que estaba sucediendo: no se intentaba enga帽arlos mediante enlaces de phishing y varias ventanas emergentes. Es solo que, en lugar del sitio web del banco, el usuario accedi贸 a un sitio web falso, lo que no caus贸 casi ninguna preocupaci贸n. Naturalmente, la transici贸n al recurso de malware se realiz贸 incluso si el usuario hizo clic en el enlace en los "Favoritos" de su navegador o en el acceso directo de URL ubicado en el escritorio.
Del mismo modo, la transici贸n se produjo si, en lugar de una PC, el usuario trabaj贸 con una tableta, tel茅fono o cualquier otro dispositivo con cualquier sistema operativo. La condici贸n principal para realizar una transici贸n de malware es conectarse a un enrutador comprometido.
Se eligieron los sitios de los bancos brasile帽os porque el acceso a ellos se puede obtener a trav茅s de HTTP, sin protecci贸n. Por lo tanto, los visitantes no reciben ning煤n mensaje de que el sitio al que son redirigidos es malicioso. Si el usuario tiene HTTPS instalado de manera predeterminada, en este caso la v铆ctima potencial recibe un mensaje sobre el problema con el certificado. Pero al mismo tiempo hay una opci贸n para "aceptar", y si el usuario lo selecciona, lo cual es hecho por la mayor铆a de los usuarios, entonces la redirecci贸n funciona sin ning煤n problema. Adem谩s, el sitio malicioso "pretende" ser completamente normal. Si el usuario inicia sesi贸n en el sitio real del banco, sus datos se redirigen al servidor de los atacantes. El sitio se controla desde la misma IP que el servidor DNS del atacante.
El sitio web uno a uno al que se lleva a cabo la transici贸n es similar al recurso real del banco, por lo que los usuarios que no son demasiado avanzados t茅cnicamente pueden ser enga帽ados f谩cilmente. Por lo que puedes entender, el sitio de los atacantes a煤n no se ha configurado, las similitudes a煤n son puramente externas, sin la funcionalidad del sitio bancario (fingir que esto no es demasiado dif铆cil).
Despu茅s de que la compa帽铆a que detect贸 el ataque report贸 el problema, la empresa de hosting propietaria del servidor cerr贸 el recurso DNS malicioso y los sitios falsos. Es cierto que esto causa ciertos inconvenientes a los propietarios de enrutadores "modernizados". El hecho es que, dado que el servidor DNS se cambia a malware en la configuraci贸n de hardware, ya no puede dar acceso a la red sin configuraciones secundarias. Esto es simple de hacer, pero si el usuario no tiene experiencia y comprende lo que est谩 sucediendo, el problema puede ser grave.
Por el momento, este es uno de los ataques m谩s grandes que utilizan enrutadores. Un ataque similar se inform贸 en mayo. Luego, se infectaron aproximadamente medio mill贸n de dispositivos de red de diferentes fabricantes. Despu茅s de que los representantes del FBI se enteraron del problema, advirtieron al servicio VPNFilter, con el que funcionaba el software malicioso, y el problema tambi茅n se resolvi贸.
Y antes, han ocurrido problemas de este tipo. Entonces, en 2016, el malware, conocido como
DNSChanger , hizo que los equipos maliciosos ejecutaran comandos maliciosos. Luego tambi茅n se utiliz贸 un servidor DNS malicioso. Y al igual que ahora, se llev贸 a cabo la transici贸n a recursos maliciosos pertenecientes a los atacantes.
La mejor protecci贸n contra ataques de este tipo es, en primer lugar, actualizar el firmware del equipo y, en segundo lugar, utilizar una contrase帽a segura. Adem谩s, puede cambiar el DNS a verificado, por ejemplo, 1.1.1.1 de Cloudflare o 8.8.8.8 de Google.