Bad Packets informó que, a partir de diciembre de 2018, un grupo de ciberdelincuentes pirateó enrutadores domésticos, principalmente modelos D-Link, para cambiar la configuración del servidor DNS e interceptar el tráfico destinado a sitios web legítimos. Después de esto, los usuarios eran redirigidos a recursos falsos.
Se informa que para ello se utilizan agujeros en el firmware, que permiten realizar cambios imperceptibles en el comportamiento de los enrutadores. La lista de dispositivos de destino se ve así:
- D-Link DSL-2640B: 14327 dispositivos liberados;
- D-Link DSL-2740R - 379 dispositivos;
- D-Link DSL-2780B - 0 dispositivos;
- D-Link DSL-526B - 7 dispositivos;
- ARG-W4 ADSL - 0 dispositivos;
- DSLink 260E - 7 dispositivos;
- Secutech: 17 dispositivos;
- TOTOLINK - 2265 dispositivos.
Es decir, sólo dos modelos resistieron los ataques. Cabe señalar que se llevaron a cabo tres oleadas de ataques: en diciembre de 2018, a principios de febrero y a finales de marzo de este año. Según se informa, los piratas informáticos utilizaron las siguientes direcciones IP de servidor:
- 144.217.191.145;
- 66.70.173.48;
- 195.128.124.131;
- 195.128.126.165.
El principio de funcionamiento de este tipo de ataques es simple: se cambia la configuración de DNS en el enrutador, después de lo cual redirige al usuario a un sitio clonado, donde se le solicita que ingrese un nombre de usuario, contraseña y otros datos. Luego acuden a los piratas informáticos. Se recomienda a todos los propietarios de los modelos mencionados anteriormente que actualicen el firmware de sus enrutadores lo antes posible.
Curiosamente, este tipo de ataques son bastante raros hoy en día; eran populares a principios de la década de 2000. Aunque en los últimos años se han utilizado periódicamente. Así, en 2016 se registró un ataque a gran escala utilizando publicidad que infectó routers en Brasil.
Y a principios de 2018 se llevó a cabo un ataque que redirigía a los usuarios a sitios con malware para Android.
Fuente: 3dnews.ru