Una campaña de secuestro de DNS, activa por al menos tres meses, ha estado atacando a los usuarios de los servicios en línea más populares, como Gmail, Netflix, PayPal, entre otros, reportan especialistas de la escuela de hackers éticos del Instituto Internacional de Seguridad Cibernética.
Como parte de la campaña de ataques, los actores de amenazas han comprometido los enrutadores de los clientes de compañías proveedoras de Internet, modificando la configuración DNS y redirigiendo a las víctimas a sitios web maliciosos para extraer sus credenciales de inicios de sesión.
Los especialistas de la escuela de hackers éticos identificaron cuatro servidores DNS maliciosos que los atacantes han estado utilizando para redirigir el tráfico de las víctimas, destacando que todos los intentos de explotación se han originado desde hosts en la plataforma Google Cloud.
El primer secuestro de DNS explota módems DSL D-Link específicos, como D-Link DSL-2640B, DSL-2740R, DSL-2780B y DSL-526B. El servidor DNS falso utilizado para este ataque fue alojado por OVH Canadá (vinculado con la dirección IP 66.70.173.48).
Una segunda oleada de ataques apuntó hacia el mismo tipo de módems D-Link, aunque la dirección asociada a este servidor malicioso era diferente a la anterior (144.217.191.145).
Acorde a los especialistas de la escuela de hackers éticos, la mayoría de las solicitudes DNS estaban siendo redirigidas a dos direcciones IP asignadas a un proveedor de hosting con políticas flexibles respecto a las prácticas deshonestas.
Una tercera ola de ataques se dirigió a un gran número de modelos de enrutadores domésticos, incluidos enrutadores ADSL ARG-W4, enrutadores DSLink 260E, enrutadores Secutech y enrutadores TOTOLINK.
El origen de los ataques está vinculado a tres hosts distintos de Google Cloud empleando dos servidores maliciosos alojados en territorio ruso.
El principal objetivo de la campaña era redirigir a usuarios desprevenidos de servicios en línea como Netflix, Uber, PayPal o Gmail a sitios fraudulentos y engañarlos para que entregaran sus credenciales de inicio de sesión, reportaron los especialistas de la escuela de hackers éticos. Los especialistas calculan que alrededor de 17 mil enrutadores podrían estar expuestos a esta campaña de secuestro de DNS.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
