Symantec Detecta el Primer Ataque de “Drive-by pharming”

En este tipo de ataque, todo lo que la víctima debía hacer para ser afectada era mirar al código HTML o JavaScript del atacante, el cual estaría colocado en una página Web o dentro de un correo electrónico.

Una vez hecho esto, el código malicioso del atacante se encargaría de cambiar los parámetros del DNS del servidor en el ruteador de banda ancha de la víctima (sin importar si éste es alámbrico o inalámbrico). De ahí en adelante, las futuras solicitudes de DNS serían contestadas por el servidor DNS del atacante, lo que significa que, efectivamente, el atacante controlaría la conexión de Internet de la víctima.

Cuando Symantec descubrió el concepto de este ataque, lo hizo de manera teórica ya que hasta ese entonces no se había detectado un ejemplo de este ataque, pero hoy, el ataque es una realidad ya que recientemente Symantec detectó que los atacantes pusieron en marcha una versión básica de “Drive-by Pharming”.

En el ejemplo real detectado por Symantec, los atacantes colocaron el código malicioso dentro de un correo que parece una tarjeta electrónica (e-card) supuestamente proveniente del sitio gusanito.com. Dicho correo contiene una liga HTML que genera un requerimiento HTTP GET que afecta ciertos modelos de ruteadores populares en México. De esta manera, la solicitud GET modifica los parámetros DNS para que cuando el usuario intente entrar al sitio Web de una institución financiera (entre otros sitios Web) el ruteador, en lugar de llevarlo al sitio legítimo de dicha institución, lo lleva hacia el sitio Web del atacante (que es muy parecido al original) implicando que, al realizar cualquier transacción en el sitio, el atacante podría robarle a la víctima sus datos de acceso.

Cuando Symantec habló por primera vez del concepto de ataque “Drive-by Pharming” hace casi un año, se pensó que podría ser algo de gran impacto, por lo que se alertó a los usuarios de Internet antes de que esto se volviera una realidad. Sin embargo, parece que la primera muestra real de “Drive-by Pharming” de la que estamos siendo testigos es más poderosa que el concepto original que vislumbró Symantec. Esto es porque el modelo del ruteador afectado en este ataque tiene más vulnerabilidades de las previstas, lo que hace el ataque mucho más potente.

En la visión original, el ataque de “Drive-by Pharming” requería que el atacante adivinara la contraseña del ruteador de la víctima. Como muchas personas nunca cambian su contraseña o no saben de su existencia, esta medida podría no ser un impedimento para el atacante. Sin embargo, simplemente cambiando la contraseña predeterminada por una difícil de adivinar hubiera sido suficiente para proteger al usuario. En el caso de los ruteadores afectados en la muestra detectada por Symantec, esto no sucede, ya que dichos ruteadores no requieren que el atacante adivine la contraseña.

Ahora que las primeras señales del ataque se han detectado, es probable que broten más. Para sorpresa de muchos, pasó casi un año desde la primera vez que Symantec señaló que el “Drive-by pharming” podría representar un ataque y la fecha en que detectamos la primera muestra, pero desafortunadamente, la presencia de esta variante es un claro signo de que los atacantes continúan evolucionando sus tácticas y seguirán haciéndolo para lograr sus objetivos. Por ello, es importante tomar las medidas necesarias y tener presentes las mejores prácticas para evitar convertirnos en víctimas.