Atacantes tienen como objetivos routers DLink DSL de Brasil, en la cual explotan una vulnerabilidad que permite cambiar los DNS del equipo que funcionan como DNS Server. Esto le permite a los atacantes poder redirigir a las victimas a sitios falsos para que entreguen la información bancaria.
Según una investigación de Radware, el exploit utilizado por los atacantes les permite realizar cambios remotos no autenticados a la configuración de DNS en ciertos módems / routers DLink DSL.
Cuando un usuario intenta conectarse a un sitio en Internet, primero consulta un servidor DNS para resolver un nombre de host como www.google.com a una dirección IP como 172.217.11.36. Luego, su computadora se conecta a esta dirección IP e inicia la conexión deseada. Al cambiar los servidores de nombres utilizados en el enrutador, los usuarios serán redireccionados a sitios falsos y maliciosos sin su conocimiento y creen que son legítimos y confiables.
Los servidores DNS maliciosos utilizados en este ataque fueron 69.162.89.185 y 198.50.222.136. Estos servidores permitieron redirigir a los bancos en línea de Banco de Brasil (www.bb.com.br) e Itau Unibanco (nombre de host www.itau.com.br) a clones falsos.
"Lo único de este enfoque es que el secuestro se realiza sin ninguna interacción del usuario", afirmó la investigación de Radware. "Las campañas de phishing con URL creadas y campañas maliciosas que intentan cambiar la configuración de DNS desde el navegador del usuario se han informado ya en 2014 y durante 2015 y 2016. En 2016, se publicó en Internet una herramienta de explotación conocida como RouterHunterBr 2.0. las mismas URL maliciosas, pero no hay informes de que Radware tenga conocimiento del uso indebido de esta herramienta ".
Este tipo de ataques es sumamente peligroso, ya que no es necesario realizar ningún ataque de phishing o estar engañando al usuario para que acceda a sitios web distintos.
