Campaña de secuestro DNS para redirigir el tráfico desde routers caseros
- Vulnerabilidades
Se detecta una campaña orquestada en tres etapas desde diciembre de 2018 a finales de marzo contra usuarios de Gmail, PayPal, Netflix, Uber
Investigadores de la compañía Bad Packets han detectado una campaña de secuestro de DNS, o DNS hijacking, contra los módems o routers de los hogares que cambian la configuración de estos dispositivos para cambiar el tráfico hacia una serie de direcciones e intentar robar credenciales de acceso.
La campaña tiene tres partes y se extiende desde finales de diciembre de 2018 a finales de marzo de este año. En cada parte de la campaña se produjo un cambio en la configuración del servidor DNS para redirigir el tráfico a direcciones ubicadas en Canadá o Rusia. Los investigadores también han detectado cuatro servidores DNS diferentes utilizados para redireccionar el tráfico.
En la investigación de Bad Packets se encontraron unos 17.000 dispositivos vulnerables a un BinaryEdge Scan. Explica la compañía en un detallado informe que en la primera oleada se explotaron dispositivos de D-Link y que el servidor DNS al que fueron redirigidos estaba alojado en OVH Canadá, que en la segunda oleada tenía una dirección IP diferente. En la tercera oleada se añadieron más fabricantes de routers y los servidores DNS estaban alojados en Rusia y en Inoventica Services.
La campaña buscaba obtener el control de usuarios de Gmail, PayPal, Netflix, Uber y varios bancos brasileños.