• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Pharming y phishing aprovecha vulnerabilidad de routers ADSL

Pharming y phishing aprovecha vulnerabilidad de routers ADSL

19 noviembre, 2007 Por Hispasec Deja un comentario

Durante el fin de semana se ha detectado un nuevo ataque de phishing que, como novedad, modifica la configuración DNS de algunos modelos de routers ADSL. El resultado es un ataque transparente, no es detectado por ningún antivirus, y perenne, llevará a los usuarios a una web falsa cada vez que introduzcan en su navegador la dirección correcta de la entidad bancaria.

El ataque, como muchos otros de phishing tradicional, ha sido lanzado a través de spam. Los usuarios reciben un mensaje de correo electrónico que invita a pinchar en un enlace para visitar una postal virtual. Si el usuario visita la página podrá observar una animación flash inofensiva, si bien esa misma página estará intentando al mismo tiempo modificar la configuración de su router de conexión a Internet.

En concreto, la página web incluye en su código HTML llamadas a direcciones internas, relativas a direcciones IP con las que suelen estar configurados por defecto el interfaz LAN de los routers. Ese rango de direcciones, por ejemplo 192.168.x.x ó 172.16.x.x, son direcciones privadas que no están accesibles desde Internet, y que suelen utilizarse para conectar el ordenador con el router ADSL. Pero el código de la página web, al ejecutarse en el navegador del usuario, puede hacer referencias a esas IPs privadas.

Las URLs que el ataque esconde en la página web están construidas para inyectar nuevas entradas en el DNS de determinados dispositivos, en concreto en los routers/gateways de 2wire modelos 1701HG, 1800HW y 2701. Estos modelos, instalados por operadores de telefonía en México, permitirían este tipo de inyecciones DNS desde el interfaz LAN sin necesidad de autenticación previa. El ataque detectado se dirige a la entidad Banamex.

A efectos prácticos, una vez llevado a cabo el ataque, cada vez que el usuario intente visitar la web de Banamex el router resolverá a una IP diferente, y en el navegador aparecerá una web falsa de phishing que le solicitará el usuario, password de accceso y la clave dinámica Netkey del token. Todo ello pese a que en todo momento el usuario visualizará en su navegador el dominio correcto de Banamex, si bien no el https de servidor seguro. Una vez la información es capturada, los atacantes podrán hacerse pasar por la víctima y realizar transacciones en su nombre.

La novedad de este ataque de pharming (adultera la resolución DNS) y phishing (una web falsa pide las credenciales), es que el dispositivo atacado es el router ADSL y el sistema del usuario sólo hace de puente para llevar a cabo el ataque. Por tanto es un ataque multiplataforma en lo que respecta al sistema operativo del usuario (ya sea Windows, Linux, Mac, etc), y todo depende de si el modelo de router ADSL es vulnerable.

La responsabilidad en la prevención del ataque, teniendo en cuenta que no podemos luchar contra la candidez de los usuarios, se podría establecer en primer lugar en el router ADSL, que debería requerir siempre autenticación para realizar cambios en su configuración.

En un segundo término tendríamos a los antivirus y navegadores. En el caso de los antivirus la detección de este tipo de ataque sería un valor añadido más que una responsabilidad, ya que no se trata de un malware que afecte directamente al sistema. No obstante, algunos antivirus suelen ampliar su cobertura más allá del malware tradicional, ofreciendo protección ante determinados exploits. La detección de este tipo de ataque sería una de esas ocasiones donde poder marcar la diferencia con la competencia ofreciendo una protección superior.

En cuanto a los navegadores, no sería descabellado pedir que las páginas webs visualizadas desde Internet no pudieran referenciar direcciones privadas, si bien por defecto Internet Explorer, Firefox u Opera lo permiten de forma transparente.

Todos los detalles del ataque, incluyendo capturas de pantalla del correo electrónico donde se distribuye, la web de la postal virtual, detalles de las URLs de ataque y páginas de phishing, pueden ser consultadas en el blog del laboratorio de Hispasec:

http://blog.hispasec.com/laboratorio/255

La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no pinchar ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto). Instalar una solución de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores puntualmente actualizados.

También es importante estar al día de los fraudes online más comunes (saber que es un phishing, comprobar el https antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido común y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrónica.

Bernardo Quintero
bernardo@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo
  • Telegram como medio para robar tarjetas de crédito

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR