Nuovi attacchi ai router. La minaccia arriva dal Brasile

Lug 15, 2019 Marco Schiaffino Attacchi, Hacking, In evidenza, News, Phishing, RSS, Vulnerabilità 0

La tecnica punta a modificare le impostazioni DNS per dirottare le vittime su siti di phishing per rubare credenziali bancarie o di servizi online come Netflix.

Nel mondo della pirateria informatica, la scuola brasiliana ha una storia tutta sua. I cyber-criminali che operano in Brasile, infatti, si distinguono spesso per utilizzare tecniche di attacco piuttosto particolari. L’ultima in ordine di tempo prende di mira i router casalinghi.

L’obiettivo è quello di modificare le impostazioni del server DNS allo scopo di dirottare a loro piacimento la navigazione delle vittime.

Come spiegano i ricercatori di Avast in un report pubblicato settimana scorsa, i pirati in questione utilizzano due diversi Exploit Kit chiamati GhostDNS e Sonar DNS. Si tratta di strumenti di hacking che i cyber-criminali utilizzerebbero inserendoli all’interno di siti Internet per lo streaming di video pirata o con contenuti per adulti.

Una mossa decisamente brillante: l’attacco, spiegano i ricercatori, richiede infatti un po’ di tempo e utilizzare dei siti di streaming garantisce che le vittime rimangano collegate per un periodo di tempo piuttosto lungo.

Una delle tecniche utilizzate è quella di eseguire un brute forcing utilizzando credenziali predefinite. Per farlo, i pirati utilizzano uno strumento che identifica il modello di router usato dalla potenziale vittima e prova ad accedervi con le relative credenziali.

Analizzando il codice di GhostDNS, per esempio, i ricercatori hanno individuato una collezione di credenziali che comprende la combinazione user name: admin – password: gvt12345. Si tratta dei dati di accesso predefiniti che venivano usati qualche tempo fa da GVT, ora acquisita da Teleônica Brasil, uno dei maggiori provider del paese.

In altri casi, invece, i cyber-criminali utilizzano trucchi più tradizionali, come la visualizzazione di falsi messaggi che richiedono l’aggiornamento del browser ma che, in realtà, avviano una procedura di modifica delle impostazioni del server DNS in modo che il PC si colleghi a un server controllato dai pirati.

SonarDSN è uno strumento decisamente più sofisticato. Si tratterebbe, spiegano i ricercatori, di un software derivato da uno strumento di hacking chiamato sonar.js e che viene utilizzato normalmente dagli esperti di penetration testing, gli hacker “etici” che violano le reti aziendali per verificarne il livello di sicurezza.

SonarDNS è in grado di individuare i dispositivi collegati in rete e scegliere automaticamente gli exploit che consentono di violarne la configurazione da un “arsenale” opportunamente selezionato.

Ma qual è l’obiettivo dell’attacco? Secondo i ricercatori di Avst, si tratterebbe di una classica campagna di phishing. Una volta modificata l’impostazione del DNS, infatti, la navigazione può essere dirottata a piacimento. I pirati brasiliani utilizzano questa opportunità per rubare le credenziali di accesso a servizi bancari o ad altri siti Internet, come Netflix.

Tutto quello che devono fare è aspettare che la vittima provi a collegarsi al sito originale, per esempio lamiabanca.com. Normalmente, questa richiesta verrebbe inviata al server DNS che ha il compito di risolvere l’indirizzo e fornire l’IP corrispondente, del tipo 104.55.555.555.

Quando però la richiesta viene inviata al server DNS controllato dai pirati, questo indica un indirizzo IP diverso da quello del sito legittimo, ma che ospita una pagina Web del tutto simile a quella originale. La vittima, in questo modo, è convinta di essere collegata al sito della sua banca, ma è in realtà su un sito controllato dai pirati informatici. E se inserisce le sue credenziali di accesso…

Secondo il report di Avast, questo genere di attacchi starebbe aumentando vertiginosamente e nel solo Brasile i cyber-criminali avrebbero compromesso più di 180.000 router.

Condividi l'articolo