Ciberatacantes están explotando una vulnerabilidad en enrutadores DLink para enviar a los usuarios hacia un sitio bancario falso que pretende robar sus credenciales de acceso, de acuerdo con un investigador.

La vulnerabilidad funciona contra los modelos DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B y DSL-526B que no se han revisado en los últimos dos años. Como se describe, la falla permite a los atacantes cambiar remotamente el servidor DNS que utilizan las computadoras conectadas para traducir nombres de dominio en direcciones IP.

Según un aviso publicado la mañana del viernes por la firma de seguridad Radware, los piratas informáticos han estado explotando la vulnerabilidad para redirigir a personas que intentan visitar dos sitios bancarios brasileños, www.bb.com.br del Banco de Brasil y www.itau.com.br de Unibanco, a servidores maliciosos en lugar de los operados por las instituciones financieras. En la advertencia, el investigador de Radware, Pascal Geenens escribió:

El ataque es insidioso en el sentido de que un usuario no está al tanto del cambio. El secuestro funciona sin crear o cambiar la URL en el navegador del usuario. Un usuario puede usar cualquier navegador y sus accesos directos regulares, puede ingresar la URL manualmente o incluso usarla desde dispositivos móviles como iPhone, iPad, teléfonos Android o tabletas. Él o ella todavía será enviado al sitio web malicioso en lugar de su sitio web solicitado, por lo que el secuestro funciona efectivamente al nivel de la puerta de enlace.

Engaño convincente

Geenens le dijo a la fuente que se puede acceder al sitio web del Banco de Brasil a través de conexiones HTTP no autenticadas y no cifradas, y eso impidió que los visitantes reciban ninguna advertencia del sitio redirigido era malicioso. Las personas que se conectaron utilizando el protocolo HTTPS más seguro recibieron una advertencia del navegador de que el certificado digital se firmó automáticamente, pero se les engañó para que hagan clic en la opción para aceptarlo. Además del certificado autofirmado, el sitio era una copia convincente del sitio real. Si los usuarios iniciaron sesión, sus credenciales se enviaron a los piratas informáticos detrás de la campaña. El sitio fraudulento se sirvió desde la misma dirección IP que hospedaba el servidor DNS malicioso.

Las personas que intentaron visitar Unibanco fueron redirigidas a una página alojada en la misma dirección IP que el servidor DNS y el sitio falso del Banco de Brasil. Sin embargo, esa página en realidad no falsificaba el sitio del banco, una indicación de que probablemente era una página de destino temporal que aún no se había configurado. La operación maliciosa se cerró la madrugada del viernes, después de que Geenens informó sobre el servidor DNS malicioso y el sitio fraudulento a OVH (proveedor de hosting). Con el servidor DNS malicioso inoperable, las personas conectadas a dispositivos DLink infectados probablemente no podrán usar Internet hasta que cambien la configuración del servidor DNS en su enrutador o reconfiguren sus dispositivos de conexión para usar un servidor DNS alternativo.

Esta es la última campaña de pirateo para explotar el enrutador. En mayo, los investigadores descubrieron lo que probablemente sea un ataque no relacionado que infectó aproximadamente 500,000 enrutadores para usuario final hechos por distintos fabricantes. El FBI ha advertido que VPNFilter fue denominado como un enrutador de malware altamente avanzado, siendo trabajo de los piratas informáticos que trabajan para el gobierno ruso.

En 2016, el malware conocido como DNSChanger causó que los enrutadores que ejecutaban firmware no actualizado o que estaban protegidos con contraseñas administrativas débiles usaran un servidor DNS malicioso. Las computadoras conectadas se conectarían a sitios falsos. Pero en este caso, el enrutador se reconfiguró desde el hogar, no remotamente desde Internet.

La mejor defensa contra los ataques de enrutadores es garantizar que los dispositivos estén ejecutando el firmware más actualizado y estén protegidos con una contraseña segura. Un buen movimiento de defensa en profundidad también es configurar cada dispositivo que se conecta para usar un servidor DNS confiable, como 1.1.1.1 de Cloudflare o 8.8.8.8 de Google. Esta configuración, que se realiza en el sistema operativo del dispositivo de conexión, anulará cualquier configuración realizada en el enrutador.

Artículos relacionados:

• Hackers secuestran DNS de banco para robar a sus clientes
• Troyano bancario Gozi utiliza la botnet Dark Cloud para dispersarse
• Troyano de PowerShell utiliza consultas DNS para obtener órdenes