Ladrones utilizan routers hackeados para realizar cyberheists

---

Desde hace tiempo los cibercriminales dependen de comprometer sitios web para alojar software malintencionado para su uso en ataques de descarga drive-by, pero algunos criminales lo están llevando un paso adelante.


ubiquity.png
Una nueva investigación muestra que los ladrones propagan el malware Dyre para su uso en cyberheists (uso de phishing que se dirige a los empleados con acceso a sistemas informáticos de la empresa) aprovechando el hackeo de routers inalámbricos para distribuir su software de actividades ilegales que roba contraseñas.



Dyre (también conocido como Dyreza) se instala generalmente por un troyano downloader que está marcado por la mayoría de herramientas bajo el nombre Upatre, que comunmente se entrega a través de correos electrónicos maliciosos con enlaces que dirigen a los usuarios desprevenidos a los servidores de hosting con algún javascript malicioso o una redirección básica a una carga maliciosa. Si el usuario hace clic en el enlace malicioso, puede obtener un archivo falso (como una declaración de factura o banco), que si se extrae y se abre llega a un servidor de control Upatre para descargar Dyre.



De acuerdo con un reciente informe de Symantec, Dyre es una pieza de malware altamente desarrollada, capaz de secuestrar los tres principales navegadores web e interceptar sesiones de banca por Internet con el fin de obtener las credenciales de la víctima y enviarlas a los atacantes. Dyre se utiliza a menudo para descargar malware adicional en la computadora de la víctima y, en muchos casos, el equipo de la víctima se añade a una botnet que luego se utiliza para enviar miles de correos electrónicos de spam con el fin de difundir la amenaza.



Recientemente, los investigadores del Centro de Operaciones de Seguridad de Fujitsu en Warrington, Reino Unido, comenzaron a rastrear Upatre, distribuido a partir de cientos de routers domésticos comprometidos, particularmente routers con sistemas ofrecidos por Mikrotik y AirOS de Ubiquiti.



"Hemos visto, literalmente, cientos de puntos de acceso inalámbricos y routers conectados con esta red de bots, por lo general AirOS", dijo Bryan Campbell , principal analista de inteligencia de amenazas en Fujitsu. "La consistencia en el que la botnet se comunica con los routers comprometidos en relación con la distribución y la comunicación, nos lleva a creer que están siendo explotadas vulnerabilidades conocidas en el firmware para permitir que esto ocurra."



Campbell dijo que no está claro por qué tantos routers parecen estar implicados en la red de bots. Tal vez los atacantes están explotando simplemente routers con credenciales predeterminadas (por ejemplo, "ubnt" tanto para nombre de usuario y contraseña en la mayoría de los routers Ubiquiti AirOS). Fujitsu también encontró un número inquietante de sistemas en la red de bots que tenían abierto el puerto para las conexiones por telnet.



En enero de 2015, KrebsOnSecurity dio la noticia de que la botnet utilizada para atacar y desconectar brevemente a las redes de Xbox de Microsoft y la PlayStation de Sony dependían enteramente de routers hackeados, todos los cuales parecían haber sido comprometidaos de forma remota a través de telnet.



Si tu utilizas un router de Ubiquiti o de cualquier otro fabricante y si no se han cambiado las credenciales por defecto en el dispositivo, es importante realizar esta modificación. Para ver si las credenciales son las predeterminadas, se tiene que abrir un navegador e introducir la dirección numérica de la página de administración de su router. Para la mayoría de los routers será 192.168.1.1 o 192.168.0.1 o 192.168.1.254. Esta página enumera la dirección interna prestablecida para la mayoría de los routers. Si no tienes suerte de encontrarla, aquí hay un http://portforward.com/networking/routers_ip_address.htm que debería ayudar a la mayoría de los usuarios a encontrar esta dirección.



http://www.seguridad.unam.mx/noticia/?noti=2385