Drive-By Pharming: nueva forma de ataque emergente

SYM Horiz RGB 300dpi
Symantec Corporation

Siempre es bueno estar al tanto de las novedades en lo que respecta a la materia de seguridad informática, sobre todo si somos personas que gustan de navegar por la red, hasta el extremo de los extremos...

Hace un tiempo, la gente de Symantec explicó el concepto de Drive-by Pharming, a modo teórico... y hace unos días atrás, han visto una similitud aplicada de forma básica, en un entorno real...El Drive-by Pharming es una técnica que se utiliza a fines de provocar un ataque, al estilo de secuestro de DNS, pero aplicado directamente al ordenador del usuario.

Esto implica, que si al momento de ingresar a Google nosotros tipeamos: www.google.com, en vez de redireccionarnos a los servidores de la empresa del buscador, terminaremos entrando en la web (quizás, con apariencia de Google), de quien nos haya infectado.

El ataque apunta a modificar los registros de DNS del sistema (es decir, a quienes le preguntamos la dirección de cada sitio web que visitamos), pudiendo ser este cualquier Router desprotegido o con vulnerabilidades.

Esta forma de ataque, inicialmente descrita en Symantec por Sid Stamm y Markus Jakobsson, hasta el momento era más bien teórica, pero se consideraba como potencialmente riesgosa, dado que la misma podía hacer de la vida de un sujeto, un caos.

Tengamos en cuenta, que con la llegada de servicios como el Home Banking, o los servicios de pago en línea como Paypal, ya no solo hablamos de información privada, sino que también de dinero.

El ataque es bastante simple, e invisible al usuario, y se presenta cuando visitamos un sitio web que contiene un código Javascript que realiza cambios en nuestro Router sin siquiera preguntar (ahí está la parte de invisible).

Aquellos que no hayan modificado la clave por defecto de su Router, están más expuestos que los que sí, aunque determinadas marcas han demostrado ser afectadas aún así tengan clave, dado que el código expuesto en la página web visitada, contiene un exploit para determinados modelos con vulnerabilidades.

Para prevención, se recomiendan las siguientes prácticas:

  • Cambiar la clave por defecto del Router, a una que sea complicada y larga (no temas por si se pierde la clave, siempre se puede resetear a cero el aparato)
  • Suscribirse a las noticias de seguridad del fabricante
  • Actualizar el Firmware del Router (ver punto anterior)

Si crees que estás infectado, o bien deseas navegar tranquilo, lo mejor es resetear el Router (anotando todos los valores importantes de la configuración) y seguir los pasos de prevención mencionados anteriormente. Con esto, lograrás resetear los valores de los DNS (los cuales son el punto de ataque) a los de fábrica (nulo), perdiendo así el dato que pudiese haber sido modificado por el atacante.

Sin duda, esta forma de ataque podría convertirse en un problema mayor, dada la gran adopción por la gente de Routers Inalámbricos en sus hogares, provocando que no solo se afecte a si mismo, sino a todo aquel que utilice la conexión para navegar por la red.

El primer caso que se ha visto, tiene como público a los internautas de México, explotando un modelo de una marca muy vendida allí, y le llega al usuario por medio de una tarjeta que dice ser de gusanito.com. El DNS que se aplica en el Router, cambia la dirección de numerosos sitios conocidos, e incluso la del mayor banco de México.

Fuente:Drive-by Pharming (inglés)