Vulnerabilidad de routers redirige a usuarios a falsas páginas de bancos

02 Octubre 2018
WHITE
Amenaza
Netlab 360 informó que varios routers hogareños fueron vulnerados a través de una campaña hijacking que afectó principalmente a Brasil (88%) y que secuestra el tráfico de los usuarios para robar sus datos, redirigiéndolos a dominios falsos de 52 sitios conocidos, principalmente de bancos sudamericanos, pero también de hosting o streaming, como Netflix. Entre los 3 países más afectados también están Bolivia (7%)  y Argentina 2,5%).
 
Más de 100.000 routers domésticos –de más de 70 modelos de routers/firmware– fueron intervenidos; en su mayoría de las marcas D-Link, TP-Link, Kaiomy, Huawei, Tenda, Ralink y MikroTik.
Los atacantes rastrean el espacio IP del país al que atacarán, buscando routers que tengan contraseñas débiles. Luego, acceden a ellos y reemplazan la configuración DNS legítima con direcciones IP de servidores DNS que están bajo su control. Estas modificaciones redireccionan las consultas DNS que pasan por los dispositivos vulnerados hacia el servidor DNS comprometido, que contiene una lista de 52 páginas de phishing similares a sitios legítimos, para robar las credenciales de acceso de las víctimas.
 
Importante: no se trata de una vulnerabilidad o fallo en los sitios web de las instituciones, sino de una explotada en routers de uso doméstico.
Netlab 360 informó este incidente a varios proveedores de Internet y a Google, por lo que la gran mayoría de los sitios falsos ya fueron dados de baja.
 

Mitigaciones

En Chile, hasta el momento, hay 138 equipos infectados, cifra que podría aumentar. Es por eso que te recomendamos seguir las siguientes indicaciones:

 

Para el usuario final

  • Verifica si el servidor DNS predeterminado del router se modificó.

  • Establece una contraseña más compleja para el portal del router.

 

Para los proveedores de routers

  • Tener contraseñas predeterminadas más complejas.

  • Mejorar el mecanismo de actualización de seguridad del sistema de los routers.

Tags: #hijacking #routers #phishisng #GhostDNS #DNS
Fuentes utilizadas
https://www.welivesecurity.com/la-es/2018/...
https://blog.netlab.360.com/70-different-t...
Enlaces Internos


© 2023 Entel Digital
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.