Gigantesca botnet usada para secuestrar el tráfico destinado a bancos brasileños

Esta botnet redirige el tráfico secuestrado a más de 50 sitios de phishing activos

Más de 100 mil enrutadores han sufrido la modificación de su configuración DNS para redirigir a los usuarios a páginas de phishing. La redirección se produce solamente cuando los usuarios intentan acceder a las páginas de banca electrónica de diferentes instituciones bancarias brasileñas.

Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, alrededor del 88% de estos enrutadores se encuentran en Brasil, y la campaña se ha estado desplegando al menos desde mediados de agosto, cuando la empresa de seguridad Radware descubrió algo extraño.

Según un nuevo informe publicado la semana pasada por una firma china de hacking ético, el grupo detrás de estos ataques ha subido su apuesta. Al analizar cantidades masivas de datos recopilados, los especialistas pudieron desentrañar el modus operandi de los hackers detrás de esta botnet.

De acuerdo con los expertos, los hackers están explorando redes de todo Brasil en busca de enrutadores que usan contraseñas débiles o no usan contraseña alguna, acceden a la configuración de los enrutadores y reemplazan la configuración legítima de DNS con las IP de los servidores DNS bajo su control. Este cambio redirige todas las consultas de DNS que pasan a través de los enrutadores comprometidos a los servidores DNS maliciosos, que responden con información incorrecta para una lista de 52 sitios.

La mayoría de estos sitios son bancos brasileños y servicios de web hosting, y el redireccionamiento lleva a los usuarios a páginas de phishing para extraer las credenciales de acceso de los usuarios para los sitios legítimos.

Los atacantes hacen todo esto con la ayuda de tres módulos, los expertos en hacking ético denominaron Shell DNSChanger, Js DNSChanger y PyPhp DNSChanger, todos basados en los lenguajes de programación en los que se han codificado.

  • El primer módulo, Shell DNSChanger, está escrito en Shell y es una combinación de 25 scripts de Shell que pueden forzar las contraseñas de 21 enrutadores o paquetes de firmware
  • El segundo módulo, Js DNSChanger, está escrito en JavaScript, y es una colección de sólo 10 scripts JS que pueden forzar las contraseñas de seis enrutadores o paquetes de firmware
  • El tercer módulo, PyPhp DNSChanger, está escrito en una combinación de Python y PHP, y es el más potente de los tres. Los expertos reportan que este módulo se ha implementado en más de 100 servidores de Google Cloud, desde donde los atacantes exploran constantemente Internet para identificar los enrutadores vulnerables

Además, el tercer módulo también utiliza un exploit que puede eludir los procedimientos de autenticación para algunos enrutadores y alterar su configuración DNS. Este exploit en particular (conocido como vulnerabilidad dnscfg.cgi) ya había sido explotado en Brasil de manera similar en febrero de 2015, también se utiliza para cambiar la configuración DNS y redireccionar a los usuarios de bancos brasileños a sitios de phishing.

En total, los operadores de esta botnet pueden atacar más de 70 tipos diferentes de enrutadores, y se calcula que ya han infectado a más de 100 mil dispositivos y actualmente albergan páginas de phishing para más de 70 servicios diferentes.