Un nuevo ataque a los enrutadores domésticos envía a los usuarios a sitios falsificados que generan malware 2

Un nuevo ataque a los enrutadores domésticos envía a los usuarios a sitios falsificados que generan malware

 

Un truco recientemente descubierto de enrutadores domésticos y de pequeñas oficinas está redirigiendo a los usuarios a sitios maliciosos que se hacen suceder por posibles informativos COVID-19 en un intento de instalar malware que roba contraseñas y credenciales de criptomonedas, dijeron el miércoles investigadores.

UN publicación publicada por la firma de seguridad Bitdefender dijo que los compromisos están afectando a los enrutadores de Linksys, aunque BleepingComputer, que informó el ataque hace dos días, dijo que la campaña además apunta a dispositivos D-Link.

No está claro cómo los atacantes están comprometiendo los enrutadores. Los investigadores, citando datos recopilados de los productos de seguridad de Bitdefender, sospechan que los piratas informáticos están adivinando las contraseñas utilizadas para proteger la consola de distribución remota de los enrutadores cuando esa función está activada. Bitdefender además planteó la hipótesis de que pueden hurtar a límite compromisos adivinando las credenciales para las cuentas en la montón de Linksys de los usuarios.

No es el sitio de AWS que estás buscando

Los compromisos del enrutador permiten a los atacantes designar los servidores DNS que usan los dispositivos conectados. Los servidores DNS usan el sistema de nombres de dominio de Internet para traducir los nombres de dominio a direcciones IP para que las computadoras puedan encontrar la ubicación de los sitios o servidores a los que los usuarios intentan aceptar. Al despachar dispositivos a servidores DNS que proporcionan búsquedas fraudulentas, los atacantes pueden redirigir a las personas a sitios maliciosos que sirven malware o intentan suplantar contraseñas.

Los servidores DNS maliciosos envían objetivos al dominio que solicitaron. Sin secuestro, detrás de ambiente, los sitios son falsificados, lo que significa que se sirven desde direcciones IP maliciosas, en sitio de la dirección IP legítima utilizada por el propietario del dominio. Liviu Arsene, el investigador de Bitdefender que escribió la publicación del miércoles, me dijo que los sitios falsificados cierran el puerto 443, la puerta de Internet que transmite el tráfico protegido por las protecciones de autenticación HTTPS. El suspensión hace que los sitios se conecten a través de HTTP y, al hacerlo, evita la visualización de advertencias de los navegadores o clientes de correo electrónico de que un certificado TLS no es válido o no es de confianza.

Los dominios incluidos en la campaña incluyen:

  • aws.amazon.com
  • goo.gl
  • bit.ly
  • washington.edu
  • imageshack.us
  • ufl.edu
  • disney.com
  • cox.net
  • xhamster.com
  • pubads.g.doubleclick.net
  • tidd.ly
  • redditblog.com
  • fiddler2.com
  • winimage.com

Las direcciones IP que sirven las búsquedas de DNS maliciosas son 109.234.35.230 y 94.103.82.249.

Los usuarios de sitios maliciosos llegan a demandar que ofrecen una aplicación que proporciona “la última información e instrucciones sobre el coronavirus (COVID-19)”.

Un nuevo ataque a los enrutadores domésticos envía a los usuarios a sitios falsificados que generan malware 3

 

Bifdefender

Los usuarios que hacen clic en el pitón de descarga son redirigidos a una de varias páginas de Bitbucket que ofrece un archivo que instala malware. Conocido como Oski, la cuarto relativamente nueva de malware extrae credenciales del navegador, direcciones de billetera de criptomonedas y posiblemente otros tipos de información confidencial.

Estados Unidos, Alemania y Francia más atacados

Hubo 1.193 descargas de una de las cuatro cuentas de Bitbucket utilizadas. Con los atacantes que usan al menos otras tres cuentas de Bitbucket, el número de descarga es probablemente mucho anciano. (El número vivo de personas infectadas es probablemente pequeño que el total de descargas, ya que algunas personas pueden no poseer hecho clic en el instalador o aceptar a la página para fines de investigación).

Los datos de Bitdefender muestran que el ataque comenzó aproximadamente del 18 de marzo y alcanzó su punto mayor el 23 de marzo. Los datos de Bitdefender además muestran que los enrutadores más buscados se ubicaron en Alemania, Francia y Estados Unidos. En este momento, estos países se encuentran entre los que más sufren los posesiones devastadores de COVID-19, que en el momento en que se publicó esta publicación había causado más de 436,856 infecciones y 19,549 muertes en todo el mundo.

Para evitar ataques a los enrutadores, los dispositivos deben tener la distribución remota desactivada siempre que sea posible. En el caso de que esta característica sea absolutamente necesaria, debe ser utilizada solo por usuarios experimentados y protegida por una contraseña segura. Las cuentas en la montón, que además permiten tener la llave de la despensa enrutadores de forma remota, deben seguir las mismas pautas. Encima, las personas deben comprobar con frecuencia de que el firmware del enrutador esté actualizado.

Las personas que desean probar si han sido atacadas pueden consultar la publicación de Bitdefender para ver si hay indicadores de compromiso. Tome nota: los indicadores pueden ser difíciles de seguir para los usuarios menos experimentados.

 

Source link