Hackers secuestran DNS de banco para robar a sus clientes

07/04/2017

En lugar robar a los clientes de banca en línea, uno por uno, ambiciosos hackers tomaron el control de toda la infraestructura de DNS de un banco brasileño para robar información.

El robo, detallado por los ingenieros de seguridad de Kaspersky Lab, tuvo lugar alrededor de cinco horas el sábado 22 de octubre de 2016, después de que los hackers lograron obtener el control del servicio de alojamiento DNS del banco usando ataques dirigidos. Se las arreglaron para transferir los 36 dominios del banco a sitios web falsos que usaban certificados HTTPS gratis de Let's Encrypt. Estos sitios se disfrazaron de servicios en línea legítimos del banco, haciendo creer que los servidores maliciosos eran el verdadero negocio. Eso permitió que los hackers robaran los nombres de usuario y las contraseñas de los clientes mientras se escribían en las casillas de acceso de los sitios.

"Todos los dominios, incluidos los dominios corporativos, estaban bajo control de un chico malo", dijo Fabio Assolini, investigador senior de seguridad de Kaspersky, en un blog. Dijo que los atacantes también tomaron control de los servidores de correo electrónico del banco para que el personal no pudiera advertir a los clientes que no se conectaran.

Durante el ataque, cada vez que un cliente iniciaba sesión, entregaba su información a los atacantes, los cuales fueron enviados a un servidor de comando y control en Canadá. Además, los sitios web falsos dejaron malware en la computadora de cada visitante en forma de archivos de complemento de Java .zip'd; al hacer clic en ellos se iniciaba una infección que hacía que las máquinas fueran capaces de ejecutar código malicioso.

El malware tenía ocho módulos separados que abarcaban características como el robo de credenciales de Microsoft Exchange, Thunderbird, la libreta de direcciones local, actualización de sistemas y un programa llamado Avenger. Este software es una herramienta de eliminación de rootkit legítima que se había modificado para apagar el software de seguridad en cualquier computadora que lo descargara.

"Los hackers querían aprovechar esa oportunidad para secuestrar las operaciones del banco original, pero también soltar malware con la capacidad de robar dinero de los bancos de otros países", dijo Dmitry Bestuzhev, director del equipo mundial de investigación y análisis de Kaspersky Lab en América Latina.

El estallido de malware provocó alarmas en otros lugares, y la fuente fue rastreada hasta el banco. El personal de seguridad consiguió restaurar las credenciales DNS originales, sin embargo, el ataque mostró la importancia de administrar con mucha más precaución.

"Imagina que un empleado fuera víctima de phishing y los atacantes tuvieran acceso a las tablas DNS, caray, eso sería terrible", dijo Bestuzhev. "Si el DNS estuviera bajo control de los criminales, estarías perdido."

Si te interesa saber más acerca de como funciona el DNS, los tipos de ataques y algunas recomendaciones de seguridad, puedes visitar los siguientes enlaces: