Home Sociedad Durante casi un año, los usuarios brasileños han sido blanco de ataques...

Durante casi un año, los usuarios brasileños han sido blanco de ataques de routers

La campaña descubierta por Avast, tenía como objetivo modificar silenciosamente la configuración del Sistema de Nombres de Dominio (DNS) de los usuarios brasileños para redirigir a las víctimas a sitios web maliciosos que imitan a los legítimos.

Los delincuentes atacaron a usuarios de muchas organizaciones importantes, incluyendo Netflix y grandes bancos como Santander, Bradesco y Banco do Brasil.

Un ataque CSRF de enrutador podría iniciarse engañando a las víctimas para que visiten un sitio web comprometido con publicidad maliciosa (publicidad maliciosa) que normalmente se sirve a través de redes publicitarias de terceros en el sitio.

“Avast observa con frecuencia infecciones maliciosas en sitios web locales brasileños que alojan contenido para adultos, películas ilegales o contenido deportivo. Con sólo visitar un sitio comprometido, la víctima es redirigida a una página maliciosa donde su enrutador es atacado automáticamente sin la interacción del usuario”, dice una entrada de blog, publicada por Avast.

“El malware entonces adivina las contraseñas de los enrutadores, lo que la nueva investigación de Avast demuestra que a menudo son débiles. En algunos casos, el enrutador se reconfigura para utilizar servidores DNS no autorizados, que redirigen a las víctimas a páginas de phishing que se parecen mucho a los sitios de banca en línea reales. Más recientemente, Netflix se convirtió en un dominio popular para los secuestradores de DNS”.

Los investigadores de Avast, también observaron a delincuentes que utilizaban el secuestro de DNS para entregar scripts de minería criptográfica a los navegadores de los usuarios.

Los expertos de Qihoo 360 NetLab informaron que entre el 21 y el 27 de septiembre de 2018, la campaña GhostDNS comprometió a más de 100.000 routers, la mayoría de ellos (87,8%) ubicados en Brasil.

Y en abril de 2019, Bad Packets descubrió una nueva ola de ataques dirigidos principalmente a comprometer los routers D-Link, muchos de ellos alojados por usuarios brasileños.

Según Avast, en el primer semestre de 2019, los ciberdelincuentes han modificado la configuración de DNS de más de 180.000 routers brasileños con ataques de alta complejidad.

Los ataques del enrutador incluían un kit de exploit que intentaba encontrar la IP del enrutador en una red, y luego intentaba adivinar la contraseña utilizando las credenciales de inicio de sesión comunes.

“La contraseña “gvt12345″, por ejemplo, sugiere que los hackers apuntan a usuarios con routers del antiguo proveedor de servicios de Internet (ISP) brasileño GVT, que fue adquirido por Teleônica Brasil, y es la mayor empresa de telecomunicaciones del país”, afirma el análisis publicado por Avast. “La contraseña “vivo12345″ se utiliza en los routers distribuidos por el ISP Vivo, que también es marca de Telefónica Brasil”.

Los expertos explicaron que la variante Novidade de GhostDNS era una de las más activas en ataques de routers contra usuarios brasileños.

Avast confirmó que Novidade intentó infectar los routers de sus usuarios más de 2,6 millones de veces sólo en febrero, los expertos observaron al menos tres campañas de difusión del malware.

“Los usuarios deben tener cuidado al visitar el sitio web de su banco o Netflix, y asegurarse de que la página tiene un certificado válido, comprobando el candado en la barra de direcciones del navegador. Además, los usuarios deben actualizar frecuentemente el firmware de su router a la última versión, y configurar las credenciales de inicio de sesión de su router con una contraseña segura”, concluye Avast.