Saltar al contenido

Nuevo tipo de ciberataque capta datos bancarios a través de enrutadores

16 agosto, 2018

Este año ha sido sin duda muy movido para todo lo referente a ciberseguridad. Y este no parece querer dejar de ser un tema importante. Ahora los que se ven atacados (no por primera vez) son los datos bancarios de los usuarios de la red. Los investigadores del especialista en protección DDoS Radware han descubierto un ataque dirigido a clientes de bancos brasileños. El mismo busca robar credenciales a través de un enrutador hackeado o comprometido.

El ciberataque emplea malware que se dirige a los enrutadores de módem DSL DLink; este utiliza exploits que datan de 2015. Un agente malicioso intenta modificar la configuración del servidor DNS en los enrutadores de residentes brasileños. Y lo hace redirigiendo todas sus solicitudes DNS a través de un servidor malicioso.

El servidor DNS malicioso está secuestrando solicitudes para el nombre de host del Banco de Brasil. Y redirigiendo a un sitio web falso, a la vez que clona el host en el mismo servidor DNS malicioso. Asimismo, se descubrió que el servidor que no tiene conexión alguna con el sitio web legítimo del Banco de Brasil.

Otra institución financiera brasileña, Itau Unibanco, también está siendo redirigida. Aunque todavía no tiene un sitio web clonado. Para todas las demás solicitudes de DNS, el servidor malicioso simplemente funciona como reenviador. Y se resuelve tal como lo haría un servidor DNS de ISP.

Los usuarios no se preocupaban por la ciberseguridad

El experto de seguridad cibernética de Radware, Pascal Geenens, habla al respecto de la brecha de seguridad: «Este nuevo ataque está impactando directamente a los propietarios de dispositivos IoT: los consumidores. Hemos visto muchos ataques diferentes en dispositivos IoT y botnets. Que esclavizan a estos dispositivos vulnerables y no administrados en el pasado. Pero la mayoría no afectaba directamente al consumidor”.

Geenens continúa diciendo que aunque sus enrutadores los conecten a la red mundial, los consumidores no le prestan realmente atención. O eso era antes. Tampoco se preocupaban porque sus dispositivos estuvieran involucrados en devastadores ataques DDoS de negocios en línea. Ni porque sus dispositivos estuvieran ayudando a ocultar ataques dirigidos por hackers patrocinados por el estado.

“Después de BrickerBot, esta es la segunda advertencia a los consumidores para que comiencen a preocuparse por los riesgos». Lo inteligente de este enfoque es que el “secuestro” de datos se realiza sin ninguna interacción del usuario. Y sin necesidad de infectar el navegador. Por lo tanto, los usuarios pueden ignorar por completo el cambio.

El secuestro de datos funciona sin crear o cambiar URL en el navegador del usuario. Un usuario puede usar cualquier navegador y marcadores regulares. También puede escribir la URL manualmente o incluso usarla desde dispositivos móviles, como un smartphone o tableta. Sin embargo, si intentan acceder, el usuario seguirá siendo enviado al sitio web malicioso en lugar de a su dirección solicitada.

Se aconseja a los usuarios que verifiquen la configuración del servidor DNS primario y secundario. Esto en la configuración IP de dispositivos móviles, computadoras o enrutadores. Los navegadores modernos indicarán claramente un problema con el certificado del sitio web falso y esto no debe ignorarse. Puedes ver más detalles del ataque en el blog de Radware.