Los usuarios brasileños han sido blanco de una gran cantidad de ataques de enrutadores destinados a modificar la configuración de sus enrutadores con fines maliciosos.
Este año, los expertos en seguridad de Avast han bloqueado más de 4,6 millones. sitio cruzado los intentos de falsificación (CSRF) realizados por estafadores para ejecutar comandos sin el conocimiento de los usuarios.
La campaña descubierta por Avast tuvo como objetivo modificar silenciosamente la configuración del Sistema de nombres de dominio (DNS) de los usuarios brasileños para redirigir a las víctimas a sitios web maliciosos que imitan a los legítimos.
Los ladrones se enfocaron en los usuarios de muchas organizaciones importantes, incluyendo Netflix y grandes bancos como Santander, Bradesco y Banco do Brasil.
Se podría lanzar un ataque CSRF de enrutador engañando a las víctimas para que visiten un sitio web comprometido con publicidad maliciosa (mala publicidad) Normalmente se sirve a través de redes publicitarias de terceros en el sitio.
"Avast observa con frecuencia mala publicidadinfecciones en sitios web locales brasileños que alojan contenido para adultos, películas ilegales o contenido deportivo. "Al visitar un sitio comprometido, la víctima es redirigida a una página maliciosa donde su enrutador es atacado automáticamente sin la interacción del usuario", lee una publicación en un blog publicado por Avast.
"Malware entoncesadivina las contraseñas de los enrutadores , que las nuevas investigaciones de Avast muestran que a menudo son débiles. En algunos casos, el enrutador se reconfigura para usar servidores DNS maliciosos, que redirigen a las víctimas a páginas de phishing que se parecen mucho a los sitios reales de banca en línea. Más recientemente, Netflix se convirtió en un dominio popular para secuestradores de DNS ".
Los investigadores de Avast también observaron a los delincuentes que usaban el secuestro de DNS para entregar scripts de minería criptográfica a los navegadores de los usuarios.
Los expertos observaron por primera vez los ataques del enrutador los últimos veranos, los investigadores de Radware y Netlab los informaron por primera vez.
Los expertos de Qihoo 360 NetLab informaron que entre el 21 y el 27 de septiembre, la campaña GhostDNS comprometió a más de 100,000 enrutadores, la mayoría de ellos (87.8%) ubicados en Brasil .
En abril de 2019, los expertos de Bad Packets descubrieron una nueva ola de ataques dirigidos principalmente a comprometer a los enrutadores D-Link, muchos de ellos alojados pertenecientes a usuarios brasileños.
Según Avast, en la primera mitad de 2019, los piratas informáticos modificaron la configuración de DNS de más de 180,000 enrutadores brasileños con ataques aún más complejos.
Los ataques del enrutador involucraron un kit de explotación que intenta encontrar la IP del enrutador en una red, luego intenta adivinar la contraseña usando las credenciales de inicio de sesión comunes.
“La contraseña‘gvt12345’, por ejemplo, sugiere que los hackers se dirigen a los usuarios con los routers de la ex proveedor de servicios de Internet en Brasil (ISP) GVT, que fue adquirida por Teleônica Brasil, y es la mayor compañía de telecomunicaciones en el país.” Afirma el análisis publicado por Avast. "La contraseña" vivo12345 "se usa en los enrutadores distribuidos por el ISP Vivo, que también es la marca Telefônica Brasil".
Los expertos explicaron que la variante de GhostDNS, Novidade, fue una de las más activas en ataques de enrutador contra usuarios brasileños.
Avast confirmó que Novidade intentó infectar los enrutadores de sus usuarios más de 2.6 millones de veces solo en febrero, los expertos observaron que al menos tres campañas propagaban el malware.
En los últimos tres meses, los expertos también descubrieron tres Conducir porlos ataques de otro kit de exploits rastrearon "SonarDNS EK" porque estaba basado en el marco de SONAR JS .
"Los usuarios deben tener cuidado al visitar el sitio web de su banco o Netflix, y asegurarse de que la página tenga un certificado válido, buscando el candado en la barra de URL del navegador. Además, los usuarios deben actualizar con frecuencia el firmware de su enrutador a la última versión y configurar las credenciales de inicio de sesión de su enrutador con una contraseña segura ", concluye Avast.
Fecha actualización el 2021-07-15. Fecha publicación el 2019-07-15. Categoría: routers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs Version movil