Los investigadores de seguridad de Trend Micro descubrieron varias campañas durante septiembre y octubre que manejaban el kit de explotación Novidade capaz de cambiar la configuración del Sistema de nombres de dominio (DNS) en los enrutadores del hogar y SOHO con la ayuda de ataques de falsificación de solicitudes entre sitios (CSRF).
Los atacantes emplean este kit de explotación para atacar a las víctimas que utilizan dispositivos de escritorio y móviles, con la gran mayoría de las campañas de malware que lo utilizaron para las credenciales bancarias de los clientes de Brazillian.
Novidade puede filtrar la información bancaria de sus objetivos cambiando las configuraciones de DNS de los enrutadores vulnerables a las de los servidores mal configurados controlados por sus maestros, lo que les permite llevar a cabo ataques de pharming en todos los dispositivos conectados al enrutador comprometido.
Como descubrió Trend Micro , las primeras muestras de Novidade se desenterraron en agosto de 2017, con dos cepas separadas descubiertas en la naturaleza hasta ahora mientras se usan en múltiples campañas.
Esto lleva a la conclusión de que el kit de explotación ha sido vendido o compartido entre múltiples grupos de amenazas, o que su código fuente ha sido filtrado y modificado inadvertidamente por otros grupos para satisfacer sus necesidades y, posteriormente, se agrega a su conjunto de herramientas.
Otra sugerencia que apunta a su uso por parte de múltiples actores malos es el hecho de que Novidade también se ha descubierto como la herramienta de elección en campañas maliciosas dirigidas a víctimas que no siguen una regla de geolocalización específica.
Además, durante el análisis de Novidade, Trend Micro descubrió que el kit de explotación "se entregó a través de una variedad de métodos que incluyen publicidad maliciosa, inyección de sitios web comprometidos y mensajería instantánea".
Una vez que el objetivo recibiría un enlace que apuntaría a la aplicación web con tecnología Novidade, la página ejecutaría automáticamente múltiples solicitudes HTTP a direcciones IP locales en un esfuerzo por encontrar enrutadores activos y, una vez conectada a un host, descargaría su vulnerabilidad. Carga y comienza a atacar el enrutado con todas las vulnerabilidades contenidas en él.
Novidade usa ataques de fuerza bruta y CSRF para infiltrarse en enrutadores vulnerables
A continuación, Novidade intentará iniciar sesión en el enrutador encontrado mediante un ataque de fuerza bruta y lanzar un ataque CSRF diseñado para cambiar la configuración de DNS original del enrutador al servidor DNS del atacante.
Después de esta última etapa de ataque, las credenciales bancarias en los dispositivos conectados al enrutador comprometido serán saqueadas usando ataques de pharming.
Como medidas de defensa contra las campañas de Novidade, Trend Micro recomienda la actualización del firmware de todos los enrutadores, así como cambiar los nombres de usuario y las contraseñas predeterminadas para evitar ser vulnerables a los ataques de fuerza bruta.
Además, se recomienda a los usuarios que deshabiliten las funciones de acceso remoto para impedir que los atacantes se conecten a los enrutadores de forma remota y que cambien la dirección IP predeterminada para evitar que encuentren los enrutadores en la red local mediante exploraciones de rango de IP codificadas.
Fecha actualización el 2021-12-12. Fecha publicación el 2018-12-12. Categoría: exploit Autor: Oscar olg Mapa del sitio Fuente: softpedia