Avast observó un aumento en secuestros cibernéticos DNS en Brasil

Avast observó un aumento en secuestros cibernéticos DNS en Brasil
Intentan adivinar la contraseña usando varias credenciales de inicio de sesión.

Routers vulnerables son comprometidos ​​para re-direccionar el tráfico web de los usuarios a sitios web de phishing, instalar scripts de cifrado o servir publicidad maliciosa.

Avast bloqueó en lo que va del año a más de 4,6 millones de intentos de ataques de falsificación de solicitudes en sitios (CSRF) en Brasil.

Los ciberdelincuentes utilizan ataques CSRF para ejecutar comandos sin el conocimiento de los usuarios, en este caso para modificar de manera silenciosa la configuración de DNS de los usuarios para realizar ataques de phishing y criptominio, o ataques a través de anuncios maliciosos.

Los kits de explotación de enrutadores conocidos utilizados para atacar a los enrutadores brasileños son GhostDNS, Novidade y, en abril de 2019, Avast detectó SonarDNS.

El secuestro de DNS lleva a ataques de phishing

Un ataque CSRF de enrutador generalmente se inicia cuando el usuario visita un sitio web comprometido con publicidad maliciosa (malvertising), que se sirve utilizando redes publicitarias de terceros en el sitio.

Avast observa con frecuencia infecciones maliciosas en sitios web locales brasileños que albergan contenido para adultos, películas ilegales o deportes.

Solo visitando un sitio comprometido, la víctima es redirigida a una página de inicio del kit de exploits de enrutador, iniciando el ataque en su enrutador automáticamente, sin la interacción del usuario, en el fondo.

Los llamados kits de explotación pueden atacar con éxito un router, ya que muchos de ellos están protegidos con contraseñas débiles. Lo primero que hacen es encontrar la IP del enrutador en la red, luego intentan adivinar la contraseña usando varias credenciales de inicio de sesión.

Aquí está la lista de las principales contraseñas utilizadas en el kit de explotación:

  • admin:admin
  • admin:
  • admin:12345
  • Admin:123456
  • admin:gvt12345
  • admin:password
  • admin:vivo12345
  • root:root
  • super:super

Como una de las consecuencias, el router se reconfigura para usar servidores DNS falsos, que redirigen a las víctimas a páginas de phishing que se parecen mucho a los sitios reales de banca en línea. Recientemente, Netflix se convirtió en un dominio popular para secuestradores de DNS.

Los datos de Avast muestran que los sitios web que pertenecen a las siguientes organizaciones activas en Brasil son secuestrados con mayor frecuencia:

  • Santander (24%)
  • Bradesco (19%)
  • Banco do Brasil (13%)
  • Itau BBA (13%)
  • Netflix (11%)
  • Caixa (10%)
  • Serasa Experian (10%)

El sitio web real de Santander: la URL utiliza el estándar seguro HTTPS, y un certificado SSL, simbolizado como un candado verde, se puede ver en la barra de URL del navegador.

Copia falsa del sitio web de Santander: el candado y el HTTPS faltan en la URL, que son indicadores para los consumidores de que el sitio no es confiable.

«Las instituciones afectadas son un gran objetivo ya que son populares en sus países, y el problema es que hay poco que puedan hacer para evitar ser víctimas, además de alertar a sus clientes, ya que los sitios de phishing están fuera de sus dominios«, dijo David Jursa, analista de Inteligencia de Amenazas en Avast.

Anuncios maliciosos y ataques decriptogramas

Aparte del phishing, los ciberdelincuentes utilizan el secuestro de DNS para reemplazar los anuncios legítimos con anuncios maliciosos. Por ejemplo, los ciberdelincuentes pueden secuestrar plataformas publicitarias, como Outbrain, que pueden integrarse en sitios web para publicar anuncios a los visitantes de aquellos sitios web.

Si la dirección del servidor de la plataforma publicitaria es secuestrada en el enrutador de los usuarios, el usuario verá anuncios maliciosos, por ejemplo, para engañarlos para que descarguen más malware o para dirigirlos a sitios web no solicitados con contenido sospechoso o ilegal.

Además, los investigadores de amenazas de Avast también han visto cómo los cibercriminales utilizan el secuestro de DNS para enviar criptogramas malintencionados a los navegadores de los usuarios, por lo que las máquinas de los usuarios serán comprometidos para extraer criptomonedas, lo que puede generar facturas de energía elevadas y un ciclo de vida más corto.

Mantenerse protegido

Jursa continuó: «Los usuarios deben tener cuidado al visitar el sitio web de su banco o de Netflix, y asegurarse de que la página tenga un certificado válido al buscar el candado en la barra de URL del navegador. Además, los usuarios deben actualizar con frecuencia el firmware de su router a la última versión y configurar las credenciales de inicio de sesión del enrutador con una contraseña segura«.

La gente puede averiguar si su enrutador está infectado al usar la función Wi-Fi Inspector, que es parte de Avast Free Antivirus y todas las versiones de antivirus pagadas de Avast, que también incluye Web Shield, un escudo central que protege a los usuarios de CSRF los ataques.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados


Atento seleccionó a Shay Chor como director de Tesorería Corporativa y Relaciones con Inversores

Es Licenciado en Administración de Empresas por el IBMEC, el Instituto Brasileño para los Mercados de Capitales.

Cerrar