El supuesto ataque de fuerza bruta apunta a Linksys …



El ataque toma el control de dispositivos de purple mal asegurados, redirigiendo las direcciones world-wide-web a una página de inicio temática de COVID que intenta engañar a las víctimas para que descarguen malware.

Un grupo cibercriminal ha comenzado a escanear Online en busca de enrutadores Linksys vulnerables en la primera etapa de un ataque que finalmente tiene como objetivo engañar a los usuarios para que descarguen e instalen malware, afirmó la empresa de seguridad Bitdefender en un aviso esta semana.

El ataque primero compromete a los enrutadores vulnerables al intentar supuestamente tener credenciales débiles o predeterminadas y apuntar principalmente a los enrutadores Linksys, dijo la compañía. Una vez que un atacante obtiene acceso, secuestran la funcionalidad de DNS, redirigiendo a las víctimas a una página que intenta convencerlos de que descarguen un programa malicioso que roba información conocido como Oski. La página del atacante tiene como objetivo aprovechar el miedo a la pandemia de coronavirus para engañar a las víctimas.

Bitdefender descubrió el ataque después de que varios usuarios encontraron su navegación bloqueada por el programa de la compañía, a pesar de que intentaban visitar sitios legítimos.

«El ataque no es sutil», dice Liviu Arsene, investigación de seguridad cibernética worldwide en Bitdefender. «La página no necesariamente parece legítima, pero teniendo en cuenta que se trata de un ataque dirigido a usuarios domésticos y enrutadores domésticos, las víctimas pueden no tener la experiencia para resolverlo».

El ataque se une a un aumento common de la actividad maliciosa dirigida a los usuarios domésticos, ya que muchos de los trabajadores del conocimiento del mundo son secuestrados en sus hogares en un esfuerzo por mitigar la propagación del nuevo coronavirus. Aparentemente, alrededor de 1.200 usuarios han descargado el malware entre el 18 y el 23 de marzo, dijo la compañía.

Múltiples empresas de seguridad han advertido que los atacantes están utilizando mensajes con temas de coronavirus para intentar atraer a los usuarios para que hagan clic en enlaces maliciosos.

«Si bien no es raro que los piratas informáticos aprovechen las noticias globales, como la pandemia, para enviar correos electrónicos de phishing con archivos adjuntos contaminados, este desarrollo reciente demuestra que no son nada sino creativos para comprometer a las víctimas», Bitdefender declarado en una publicación de website sobre el ataque.

Los atacantes se centran en los países de EE. UU. Y Europa, según el análisis de la compañía. Estados Unidos, Alemania y Francia representan el 73% de los enrutadores específicos.

El ataque apunta a una lista de páginas net y dominios legítimos, que incluyen:

  • aws.amazon.com
  • goo.gl
  • little bit.ly
  • washington.edu
  • imageshack.us
  • ufl.edu
  • disney.com
  • cox.web
  • xhamster.com
  • pubads.g.doubleclick.net
  • tidd.ly
  • redditblog.com
  • iddler2.com
  • winimage.com

Cuando un usuario intenta ir a uno de esos dominios, la configuración comprometida del enrutador los enviará a un sitio controlado por el atacante que dice estar distribuyendo una aplicación de información COVID de la Organización Mundial de la Salud. Si el usuario hace clic en la página de inicio, descargará un programa de uno de los cuatro repositorios de Bitbucket, declaró Bitdefender en su análisis.

El programa es un descargador que instala Oski, un troyano relativamente nuevo desarrollado en 2019.

«Algunas de las características que incluye giran en torno a la extracción de credenciales de navegador y contraseñas de billetera de criptomonedas, y sus creadores incluso se jactan de que puede extraer credenciales almacenadas en bases de datos SQL de varios navegadores website y registros de Windows», dijo la compañía.

El ataque no es la primera vez que los ciberdelincuentes utilizan un servicio de almacenamiento de software program legítimo como mecanismo de distribución. Tanto GitHub como Bitbucket han sido utilizados por atacantes en el pasado.

Los investigadores de Bitdefender creen que el compromiso first se logra mediante un ataque de fuerza bruta del enrutador o de la cuenta de Linksys Cloud, que se puede usar para administrar de forma remota un enrutador. El ataque podría estar usando una vulnerabilidad u otro método, dice Arsene. Sin embargo, toda la evidencia apunta a un amplio ataque de exploración de fuerza bruta como el principal culpable.

Con tantos trabajadores que utilizan redes y sistemas domésticos para conectarse a los sistemas de sus empresas, estos enrutadores con seguridad débil no son solo un problema del consumidor sino también de la empresa, dice Arsene.

«El enrutador es la puerta de entrada del usuario doméstico a World-wide-web», dice. «Si no deshabilita la cuenta en la nube de Linksys o no actualiza su firmware, se acabó el juego para toda su infraestructura de purple».

Contenido relacionado:

Revisa El borde, La nueva sección de Darkish Examining para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Cómo desalojar a los atacantes que viven en tu tierra».

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Studying, MIT&#39s Technological know-how Assessment, Well known Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más suggestions





Enlace a la noticia primary