Ataque basado en la web ataca routers domésticos con un toque brasileño

Los cibercriminales brasileños están llevando a cabo un interesante ataque en el que intentan cambiar la configuración DNS de los routers domésticos mediante un ataque basado en la web, ingeniería social y sitios web maliciosos. En estos ataques, los servidores DNS maliciosos configurados en el dispositivo del usuario dirigen a los sitios phishing de bancos brasileños, programados para robar las credenciales financieras de sus clientes.

Los ataques a routers domésticos no son nuevos; en 2011, mi colega Marta describió un programa malicioso que afectaba a estos dispositivos de red. En Brasil, hemos documentado una larga y molesta serie de ataques a distancia que comenzó en 2011-2012 y ha afectado a más de 4,5 millones de módems DSL, explotando una vulnerabilidad remota y cambiando las configuraciones DNS. Pero esta estrategia basada en la web es nueva para los delincuentes brasileños, y creemos que se reproducirá rápido a medida de que las víctimas aumenten.

El ataque comienza con un correo electrónico malicioso en el que se usa un poco de ingeniería social para invitar al usuario a que pulse en un enlace:

“Soy tu amigo y quiero que sepas que te están traicionando, te aconsejo que veas las fotos”

¿Cuánta gente cayó en la trampa? Mucha. 3.300 clicks en 3 días. La mayoría de los usuarios estaban en Brasil, aunque también había muchos en Estados Unidos y China, tal vez visitantes brasileños o personas que entienden portugués.

Las URLs cortas son una forma barata para que los cibercriminales midan su “rendimiento”

El sitio web al que dirige el correo está repleto de contenido pornográfico. En segundo plano, ejecuta scripts. Dependiendo de cómo hayas configurado tu equipo, el sitio te pedirá en algún momento el nombre de usuario y contraseña de tu punto de acceso inalámbrico. Si lo hace, es buena señal. Si no, podrías tener problemas:

El script ubicado en el sitio web intentará adivinar la contraseña de tu router doméstico. Pruobará diferentes contraseñas, como “admin:admin”:

o “root:root”

o “admin:gvt12345” (GVT es una ISP brasileña grande):

Los scripts siguen probando combinaciones que dirigen al panel de control de tu dispositivo de red como [your-router-IP]. rebootinfo.cgi o [your-router-IP]. dnscfg.cgi? . Cada script incluye los comandos para cambiar los servidores DNS primarios y secundarios. Si estás usando credenciales predeterminadas en tu router, no tendrás ninguna interacción con el programa y no te darás cuenta de que el ataque está en proceso. Si no estás usando credenciales predeterminadas, el sitio web te pedirá que las escribas.

Algunos criminales brasileños usaban 5 dominios y 9 servidores DNS, todos para alojar páginas fraudulentas que imitaban las de los bancos brasileños más importantes. Los sitios web maliciosos usados en los ataques están filtrando el acceso directo usando referentes HTTP para evitar que los analistas de seguridad tengan acceso directo a ellos.

¿Cómo puedes protegerte? Asegúrate de que no estás usando la contraseña predeterminada en tu router doméstico y NUNCA escribas tus credenciales en ningún sitio web que te las pida. Nuestro producto Kaspersky Internet Security también está listo para bloquear estos scripts de forma automática.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *