Site de um dos maiores jornais do Brasil foi comprometido com malware que tentou alterar as configurações de DNS nos roteadores das vítimas.
Por Michael Mimoso – em 12 de setembro de 2014
A Empresa de segurança WebPubli publicou um relatório ontem indicando que o site do jornal “O Estadão” , estava carregando iframes que realizou um ataque de força bruta contra roteadores residenciais das vítimas, utilizando credenciais de administrador. Um ataque semelhante foi relatado no dia 2 de Setembro pela Kaspersky Lab e pelo investigador de segurança Fabio Assolini, quem disse que viu semelhante redirecionamento levando as vítimas a sites de phishing que se faziam passar por bancos no Brasil.
"Esta abordagem 'na Web' era algo novo para os Cyber atacantes brasileiros até agora e nós acreditamos que ela pode se espalhar rapidamente conforme aumenta o número de vítimas," escreveu Assolini no Securelist blog.
Esta abordagem 'na Web' era algo novo para os Cyber atacantes brasileiros.
Assolini disse que os ataques são iniciados com um email de phishing que leva a vítima a clicar em um link mal intencionado, com a maioria das vítimas provenientes do Brasil e dos EUA, o link leva a vítima a um site que hospeda conteúdo adulto enquanto um script malicioso é executado em segundo plano. O que poderia pedir para a vítima as credenciais do ponto de acesso sem fio, se a vítima não se lembrar da senha do seu roteador.
Cinco domínios e nove servidores de DNS foram encontrados nesta hospedagem de sites de phishing bancários. A metodologia para o ataque do Estadão não é muito diferente, disse Assolini.
"O pacote estava tentando o usuário admin, raiz, gvt e alguns outros nomes de usuários, todas usando as senhas padrão do roteador", disse o investigador de segurança Fioravante Souza.
Até ontem a noite o site continuava comprometido, se referindo à data de 11 de setembro de 2014.
Ataques de IFrame é uma ferramenta famosa entre os hackers. Em geral os sites comprometidos que hospedam pacotes de iFrames redirecionam o navegador da vítima para um website que silenciosamente baixa o malware para o computdor da vítima ou a leva para um site de phishing.
"Muitas vezes gastamos tempo conversando sobre infecções de servidores web, que são acionados por downloads, mas raramente falamos sobre outros atos maléficos que agentes mal intencionados podem causar. Este é apenas um exemplo de um vasto leque de ações disponíveis para os hackers," acrescentou.
A análise de Souza salienta a injeção de iFrame oculto para carregar conteúdo de laspeores [...]com [ar]. Um segundo iFrame é então carregado e extrai o conteúdo de um serviço com a URL encurtada vv2 [...] com. Então um terceiro iFrame, com Javascript malicioso que redireciona para um terceiro site, é carregado, diz Souza.
"A seqüência de comandos ou um script, é usada para identificar o endereço IP local do seu PC,", disse Souza. "Então ele começa a adivinhar o IP do roteador para passá-lo como uma variável no script de outro."
Os hackers estão bem cientes das deficiências dos roteadores de casas e pequenas empresas, a maioria dos quais infelizmente não têm níveis adequados de patches, e que são, provavelmente, apenas protegido por uma senha fraca ou senha padrão.
Portanto, um invasor é capaz de redirecionar o tráfego do router e pode efetuar ataques adicionais que colocam em risco as credenciais, e-mail, os principais bancos e outros tipos de operações.
No final de 2013, uma ampla gama de ataques man-in-the-middle estavam no meio de uma erupção em roteadores domésticos e de pequenos escritórios, onde o hacker substituiu a configuração de DNS, desviando as solicitações de DNS para sites maliciosos.
Team Cymru publicou um relatório sobre os ataques, citando evidências de que eles envolveram mais de 300 mil roteadores dos principais fabricantes, como D-Link, TP-Link, entre outros. Os investigadores disseram que as campanhas foram semelhantes aos ataques em um número de bancos na Polónia, mas é provável que eles são mantidos por diferentes grupos de hackers. mBank na Polónia foi alvo de ataques similares de desvio de DNS. Os agressores costumavam roubar as credenciais de contas online.
A conference DEF CON no último mês, e o concurso SOHOpelessly Broken enumerou as questões de segurança ao redor dos roteadores SOHO. Quinze vulnerabilidades de zero-day foram divulgadas e demonstradas durante a competição, levando a sete, o número de roteadores comprometidos e outro ataque que poderia ter levado à corrupção da rede interna. O pesquisador Craig Young da Tripwire foi a grande vencedor do concurso e disse a o Threatpost que os roteadores carecian de autenticação do servidor e no seu lugar faziam a autenticação dos usuários no browser. Comprometer estas senhas não foi difícil, disse ele.
Veja mais em: https://threatpost.com/hacked-political-news-site-targets-router-dns-settings