Brasil: aprovechan vulnerabilidad en routers para redirigir a usuarios a falsas páginas de Bancos

Varios enrutadores domésticos fueron vulnerables en una campaña de secuestro que afectó principalmente a Brasil e interceptó el tráfico de usuarios para redirigirlos a sitios falsos que suplantaban la identidad de varios bancos con el objetivo de robar datos. Bolivia y Argentina están entre los tres primeros países.

A mediados de agosto de este año hablamos de uno campaña dirigida a usuarios de Brasil que explotaba una vulnerabilidad en routers D-Link para secuestrar el trafico de los usuarios y redirigirlos a paginas falsas de dos bancos conocidos que operan en Brasil. En esta oportunidade, la noticia es que de acuerdo a información divulgada por Netlab 360, nuevos datos acerca de esta campaña indican que los actores maliciosos de la misma conturaron creciendo.

Segun datos recientes, ahora la candidad de modelos de routers/firmware atacados superan los 70 y más de 100.000 routers domésticos se vieron afectados por los atacantes para redirigir el tráfico. Entre ellos, hay algunos modelos de marcas como D-Link, TP-Link, Kaiomy, Huawei, Tenda, Ralink y MikroTik.

brasil sigue siendo el país que más víctimas se cobró esta campaña con casi el 91.605 de los routers de uso hogareño afectados (equivale al 88% de los dispositivos); seguido por Bolivia contra 7.644 y Argentina contra 2.581entre los tres principales países.

Además, ahora hay más de 50 dominios cuya identidad ha sido suplantada y la mayoría de ellos involucra a bancos reconocidos que operan en el país sudamericano.

Lo que están haciendo los atacantes es rastrear el espacio IP de Brasil en busca de enrutadores que tengan contraseñas débiles para acceder a ellos y reemplassar la configuración DNS gítima con dirección IP de servidores DNS que están bajo su control. Estas modificaciones, lo que hacen es redirigir las consultas DNS que pasan por los dispositivos vulnerables al servidor DNS comprometido, el cual contiene una lista de 52 páginas de phishing esperando ser llamadas para suplantar la identidad de sitios legítimos (principalmente bancos) y robar las credenciales. de accesos de las victimas. Además de instituciones financieras se incluyen sitios de servicios de hosting o de streaming como Netflix, entre otros.

Para lograrlo, los atacantes detrás de esta campaña maliciosa utilizan tres módulos de código para afectar a diferentes enrutadores y firmware: uno escrito en Shell, otro en JavaScript y un tercero en una combinación de Python y PHP. Este último fue desplegado mayoritariamente en severidos Cloud de Google, desde donde los atacantes están buscando permanentemente en Internet por enrutadores vulnerables. Asimismo, este módulo utiliza 69 scripts que pueden realizar ataques de fuerza bruta a la contraseña de 47 tipos de enrutadores y paquetes de firmware.

Algunas de las instituciones financieras cuya identidad fue suplantada fueron: Bradesco, Itaú, Banco do Brasil, Caixa o Citibank, entre otros. Es importante resaltar que no es una vulnerabilidad o falla en los sitios web de estas instituciones, es una vulnerabilidad explotada en routers de uso domestico. Por otro lado, la empresa Netlab 360 ha informado del incidente a varios proveedores de Internet, así como a Google, y la mayoría de los sitios falsos han sido dados de baja.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!