A mediados de agosto de este año hablamos de una campaña dirigida a usuarios de Brasil que explotaba una vulnerabilidad en routers D-Link para secuestrar el tráfico de los usuarios y redireccionarlos a páginas falsas de dos conocidos bancos que operan en Brasil. En esta oportunidad, la noticia es que de acuerdo a información divulgada por Netlab 360, nuevos datos acerca de esta campaña indican que los actores maliciosos detrás de la misma continuaron creciendo.

Según datos recientes, ahora la cantidad de modelos de routers/firmware atacados superan los 70 y son más de 100.000 los routers domésticos que fueron intervenidos por los atacantes para redirigir el tráfico. Entre ellos, hay algunos modelos de marcas como D-Link, TP-Link, Kaiomy, Huawei, Tenda, Ralink y MikroTik.

Brasil sigue siendo el país que más víctimas se cobró esta campaña con casi el 91.605 de los routers de uso hogareño afectados (equivalente al 88% de los dispositivos); seguido por Bolivia con 7.644 y Argentina con 2.581, entre los tres principales países.

Además, ahora son más de 50 los dominios cuya identidad se suplantó y la mayoría involucran a conocidos bancos que operan en el país sudamericano.

Lo que están haciendo los atacantes es rastrear el espacio IP de Brasil en busca de routers que tengan contraseñas débiles para acceder a ellos y reemplazar la configuración DNS legítima con direcciones IP de servidores DNS que están bajo su control. Estas modificaciones lo que hacen es redireccionar las consultas DNS que pasan por los dispositivos vulnerados hacia el servidor DNS comprometido, que contiene una lista de 52 páginas de phishing a la espera de ser llamadas para suplantar la identidad de sitios legítimos (principalmente de bancos) y robar las credenciales de accesos de las víctimas. Además de instituciones financieras se incluyen sitios de servicios de hosting o de streaming como Netflix, entre otros.

Para lograr esto, los atacantes detrás de esta campaña maliciosa utilizan tres módulos de código para afectar distintos routers y firmware: uno escrito en Shell, otro en JavaScript y un tercero en una combinación de Phyton con PHP. Este último fue desplegado mayoritariamente en servidores Cloud de Google, desde donde los atacantes están permanentemente buscando en Internet por routers vulnerables. Asimismo, este módulo utiliza 69 scripts que pueden realizar ataques de fuerza bruta sobre la contraseña de 47 tipos de routers y paquetes de firmware.

Algunas de las instituciones financieras cuya identidad fue suplantada fueron: Bradesco, Itaú, Banco do Brasil, Caixa o Citibank, entre otros. Es importante destacar que no se trata de una vulnerabilidad o fallo en los sitios web de estas instituciones, sino que se trata de una vulnerabilidad explotada en routers de uso doméstico. Por otra parte, la empresa Netlab 360 informó a varios proveedores de Internet sobre el incidente, así como a Google, y la gran mayoría de estas falsos sitios ya fueron dados de baja.