Se ha detectado una campaña activa donde ciberdelincuente estarían realizando secuestro de DNS en los Router D-link, con el fin de dirigir phishing a usuarios de Netflix, Uber, PayPal y Gmail.
El secuestro de DNS tiene como objetivo poder redirigir a los usuarios a sitios falsos controlados por los atacantes mediante resolución de IP falsa, cosa de poder en esos servidores, obtener información sensible como usuarios, contraseñas, Tarjetas de crédito, etc...
Los atacantes abusaron de la plataforma de Google para poder levantar los servicios de explotación contra los routers de los clientes, además detectaron los servidores DNS que redirigían el tráfico a servidores comprometidos por los atacantes.
La campaña hasta ahora registró tres olas de ataque hacia los clientes, en la primera ola detectada en diciembre del año pasado, el ataque fue dirigido a ciertos modelos de Router Dlink que se enumeran a continuación:
⚠️ WARNING ⚠️— Bad Packets Report (@bad_packets) 30 de diciembre de 2018
Unauthenticated Remote DNS Change Exploit Detected
Target: D-Link routers (https://t.co/TmYBAAR1T7)
Source IP: 35.190.195.236 (AS15169) 🇺🇸
Rogue DNS server: 66.70.173.48 (AS16276) 🇨🇦 pic.twitter.com/fRnCoXQM3H
En la segunda oleada que se intentó el 6 de febrero de 2019, los atacantes utilizaron nuevos hosts de AS15169 que se asignaron a los clientes de Google Cloud.
De acuerdo con Bad Packets, "Como lo señaló el usuario de Twitter" parseword ", la mayoría de las solicitudes de DNS se estaban redirigiendo a dos direcciones IP asignadas a un proveedor de alojamiento conocidas por albergar sitios maliciosos (AS206349) y otra que apunta a un servicio que monetiza los nombres de dominio parqueados (AS395082 ).
La tercera ola de intentos proviene de tres hosts distintos de Google Cloud Platform, en este momento, los atacantes que apuntan a algunos de los modelos de los enrutadores adicionales, incluidos los enrutadores ADSL ARG-W4, los enrutadores DSLink 260E, los enrutadores Secutech y los enrutadores TOTOLINK.
La persona de Google indicó que: “Hemos suspendido las cuentas fraudulentas en cuestión y estamos trabajando a través de los protocolos establecidos para identificar las nuevas que surjan. Tenemos procesos establecidos para detectar y eliminar cuentas que violan nuestros términos de servicio y política de uso aceptable, y tomamos medidas en las cuentas cuando detectamos un abuso, incluida la suspensión de las cuentas en cuestión. "Estos incidentes resaltan la importancia de practicar una buena higiene de seguridad, incluido el parcheado de firmware del enrutador una vez que la solución esté disponible".
Imagen: HiperTextual
Fuente: Gbhacker
