Fieles a la creciente complejidad de las amenazas Web, las armas incluyen la ingeniería social, la descarga de código malicioso, pharming, y aquí está factor decisivo un módem DSL.
Sí, el ataque inicia con la explotación de una vulnerabilidad conocida de los módems 2Wire. Dicha vulnerabilidad permite que un atacante modifique los servidores y hosts DNS locales. Uno de los principales proveedores de servicio Internet de México ofrece módems 2Wire a sus clientes, y se calcula que cientos de miles de modems y más de 2 millones de usuarios podrían están en riesgo.
De acuerdo con Juan Pablo Castro, ingeniero de Trend Micro, el exploit llega con un mensaje de correo de noticias similar a este, el asunto del mensaje y el título del artículo es EU dio 40 años a principal operador del Cartel de Tijuana.
El mensaje incluye el siguiente código de explotación:
Cabe notar que el código está embebido en una tag img src. Esto significa que una vez que un usuario confiado abre el correo en su formato HTML, el código intenta automáticamente acceder a la consola Web del módem y modificar la base de datos del local host para redirigir todas las solicitudes de banamex.com, el sitio web de uno de los bancos más grandes de México, a un sitio fraudulento.
Así, para los usuarios afectados que quieren tener acceso al sitio bancario, incluso cuando escriben banamex.com, que es un nombre de de dominio legítimo, no malicioso y totalmente calificado (FQDN), son dirigidos a un sitio fraudulento. Creo que todo sabemos como va el resto de la historia.
Por desgracia, eso no es todo. El mensaje malicioso también promete un video e incluye un enlace que apunta a un URL malicioso donde el archivo .RAR Video_Narco.rar puede descargarse. Este archivo contiene el archivo malicioso Video_Narco.exe, que Trend Micro detecta como TROJ_QHOST.FX.
Hay que reconocerlo, estos criminales están asegurándose de que se exploten todas las posibilidades, de que no haya un solo hueco de la seguridad que no se aproveche en cualquier caso, Trend Micro ya bloquea todos los URLs/IPs maliciosos relacionados con su Web Threat Protection. Incluso los usuarios cuyos servidores DNS pueden haber sido afectados recibirán una notificación de una posible actividad de pharming (ver la siguiente imagen).
Por supuesto, las prácticas de cómputo inteligentes siguen siendo la mejor política. Conforme la Web (y sus amenazas) se hace cada vez más compleja, los usuarios deben armarse con todo el conocimiento y precauciones que puedan.
