Sitio hackeado de un periódico brasileño ataca la configuración DNS del Router

Por Michael Mimoso - 12 septiembre de 2014,

  

El sitio Web de uno de los periódicos más grandes de Brasil se ha visto comprometido con malware que intenta cambiar la configuración DNS del router de la víctima. 

La empresa de seguridad Web Securi publicó un informe  ayer señalando que el sitio Web llamado Politica Estadao cargó iFrames que realizaron un ataque de fuerza bruta contra las credenciales del administrador del router de la víctima. El 2 de septiembre, el investigador Fabio Assolini del Laboratorio Kaspersky reportó ataques con un estilo similar, señalando que vio desvíos similares que llevaban a las víctimas a sitios phishing haciéndose pasar por bancos en Brasil. 

"Este enfoque 'en la Web' era algo nuevo para los atacantes cibernéticos brasileños hasta ahora y creemos que puede propagarse rápidamente al aumentar el número de víctimas", escribió Assolini en el blog de Securelist

Este enfoque 'en la Web' era algo nuevo para los atacantes cibernéticos brasileños. 

Assolini explicó que los ataques analizados comienzan con un correo electrónico de phishing que engaña a la víctima para que haga clic en un enlace malicioso, con la mayoría de las víctimas procedentes de Brasil y los EE.UU. El enlace lleva a la víctima a un sitio que aloja contenido para adultos mientras que un script malicioso se ejecuta en segundo plano que pueda pedir las credenciales del punto de acceso inalámbrico de la víctima si no puede adivinar su contraseña del router. 

Se encontró que cinco dominios y nueve servidores DNS alojaban sitios de phishing bancarios, afirmó Assolini. La metodología en el ataque a Estadao no es muy diferente, señaló Securi. 

"El paquete intentó el admin del usuario, root, gvt y otros nombres de usuarios, todos con las contraseñas predeterminadas del router", dice el investigador Fioravante Souza de Securi.

Los ataques con iFrame son una herramienta popular de los hackers. En general, los sitios Web comprometidos cargan iFrames que desvían el explorador de la víctima a un sitio Web que descarga malware silenciosamente en la máquina hackeada, o a un sitio Web fraudulento.

"Solemos pasar el tiempo hablando de infecciones a servidores Web, y las impulsadas por descargas, pero rara vez hablamos de los demás actos nefastos que pueden hacer agentes dañinos. Este es sólo un ejemplo de una amplia gama de acciones disponibles para los crackers", subrayó Souza.

El análisis de Souza señala que la inyección oculta de iFrame carga contenidos de laspeores[.]com[.ar]. Un segundo iFrame es entonces cargado y extrae contenido de un servicio con la URL acortada vv2[.] com. A continuación, se carga un tercer iFrame, con Javascript malicioso que redirige a un tercer sitio Web, dice Souza.

 "La secuencia de comandos, o script, se utiliza para identificar la dirección IP local de su PC", afirmó Souza. "A continuación, empieza a adivinar la IP del router al pasarla como una variable en otro script."

Los hackers están muy conscientes de las carencias de los routers para el hogar y la pequeña empresa, la mayoría de los cuales lamentablemente carecen de niveles adecuados de parches, y que probablemente sólo están protegidos por una contraseña predeterminada o débil.

Por lo tanto, un atacante capaz de redirigir el tráfico del router podría llevar a cabo ataques adicionales que ponen en riesgo las credenciales, el correo electrónico, claves de bancos y otros tipos de operaciones.

 A finales de 2013, una amplia gama de ataques man-in-the-middle estaban en el centro de una erupción en routers para el hogar y de pequeñas oficinas en donde se reemplazaba la configuración de DNS y se desviaban las solicitudes de DNS a sitios malintencionados.

Team Cymru publicó un informe sobre los ataques, citando evidencia de que estaban involucrados más de 300 mil routers de los principales fabricantes, como D-Link, TP-Link, entre otros. Los investigadores dijeron que las campañas fueron similares a los ataques contra una serie de bancos en Polonia en la primavera, pero es probable que se llevan a cabo por distintos grupos de hackers. mBank de Polonia fue blanco de ataques similares de desvió de DNS, que los agresores utilizaron para robar las credenciales de cuentas en línea.

En la conferencia DEF CON el mes pasado, el concurso SOHOpelessly Broken enumeró los problemas de seguridad en los routers de SOHO. Se dieron a conocer y demostraron quince vulnerabilidades zero-day durante el concurso, lo que llevó a que siete routers quedaran comprometidos y otro ataque que podría haber llevado a daños de la red interna. El investigador Craig Young de Tripwire fue el gran ganador en el concurso y dijo a Threatpost que los routers carecían de autenticación del servidor, y en su lugar autenticaron a los usuarios en el navegador. Comprometer esas contraseñas no fue difícil, afirmó.

- Vea más información en: https://threatpost.com/hacked-political-news-site-targets-router-dns-settings