Incidentes

Ataques masivos de envenenamiento de DNS en Brasil

Los últimos días, varios servidores de Internet (ISP) brasileños fueron víctimas de una serie de ataques de envenenamiento de caché de servidores de nombres de dominio (DNS). Estos ataques redirigen a los usuarios para que instalen malware antes de que se conecten a sitios populares. Algunos incidentes también incluyen ataques a dispositivos de redes y comprometen routers o módems.

Brasil tiene servidores de Internet muy grandes. Estadísticas oficiales indican que el país tiene 73 millones de ordenadores conectados a Internet y, en promedio, los ISPs más grandes tienen entre 3 y 4 millones de clientes. Si un cibercriminal puede cambiar el caché DNS de un solo servidor, la cantidad de víctimas potenciales es inmensa.

La semana pasada, los foros web de Brasil estaban repletos de usuarios desesperados que habían sido redirigidos a sitios maliciosos cuando trataban de ingresar a sitios web como YouTube, Gmail y Hotmail, así como sitios populares locales como Uol, Terra y Globo. En todos los casos, se pidió a los usuarios que ejecutaran un archivo malicioso cuando se abrió el sitio web.

Hemos estado haciendo un seguimiento de uno de los ataques, en los que un ordenador limpio mostró esta advertencia al abrir Google:

“Para ingresar al nuevo Google.com debes instalar Google Defence”

La ventana pide al usuario que descargue e instale el programa “Google Defence” necesario para usar el motor de búsqueda. Pero este archivo es en realidad un troyano bancario que el motor heurístico de Kaspersky puede detectar. Al analizar el IP descubrimos que alojaba muchos archivos maliciosos y exploits:

De hecho, el archivo ad.html es un script codificado que explota Exploit.Java.CVE-2010-4452.a y ejecuta códigos de forma arbitraria en una vieja versión de JRE. El exploit, que detectamos como Exploit.Java.CVE-2010-4452.a, convoca uno de los archivos de la lista. Las estadísticas de KSN (Kaspersky Security Network) indican que todos los usuarios infectados son de Brasil; hemos registrado más de 800 intentos de acceder a este sitio, y nuestro antivirus bloqueó todos.

En noticias relacionadas al tema, la semana pasada, la policía federal brasileña arrestó a un empleado de 27 años de un ISP mediano en el sur del país. Lo acusaron de participar en esta actividad maliciosa. Durante un periodo de 10 meses, cambió el caché DNS del ISP, redirigiendo a todos los usuarios a sitios fraudulentos. Creemos que seguirán apareciendo ataques de seguridad similares en otros ISPs pequeños y medianos del país.

Ataques en dispositivos de redes

En otro incidente, algunas empresas denunciaron ataques en sus dispositivos de redes, en los que un atacante accedía al router o módem a distancia y cambiaba todas sus configuraciones DNS. En aquellos casos, cuando los empleados de las empresas afectadas intentaban abrir un sitio web, les pedían que ejecutaran un applet malicioso de Java:

No es ninguna sorpresa que el applet instalara un troyano bancario, que nuestra detección heurística bloquea.

Como describió mi colega Marta en este análisis, muchos routers y módems tienen fallas de seguridad que permiten que atacantes externos penetren en ellos y cambien la configuración del dispositivo. Así pueden explotar fallas de seguridad y configuraciones vulnerables como contraseñas predeterminadas.

Sugerimos a todos los usuarios afectados que actualicen sus programas antivirus y todos los programas de sus equipos (como Java) y cambien la configuración de DNS a otros proveedores (como Google DNS). En ataques contra dispositivos de redes, recomendamos actualizar el firmware del router y cambiar las contraseñas predeterminadas.

Ataques masivos de envenenamiento de DNS en Brasil

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada