New Pharming?

Está claro que cada día los usuarios e instituciones tratan de protegerse más ante posibles ataques de personas maliciosas. Pero a la vez que mejoran las medidas de protección también lo hace la agudeza del atacante.

¿Cómo podemos hacer un caso de phising sin inyectar nada en el ordenador del atacado y que sea efectivo? La respuesta a continuación.

La detección de cualquier archivo subido para su ejecución maliciosa dentro de un ordenador atacado será cuestión de tiempo que sea detectado por programas antivirus, firewalls de aplicación, etc. Entonces surge la necesidad de conseguir redirigir el tráfico del usuario en vez de a sitios seguros a sitios fraudulentos. Una opción sería el conocido como “pharming” que sería modificar las tablas de un DNS de Internet y cambiar el mapeo entre url e Ip. Así cualquier usuario que hiciera una consulta a dicho DNS comprometido obtendría una dirección IP fraudulenta. El problema consiste en que dichos DNS suelen estar bien protegidos, por lo que ya no podría darse este ataque. ¿Cómo solventamos el problema?

Fácil en vez de atacar servidores en Internet debidamente protegidos, ataquemos los “vulnerables” pequeños routers que tienen los usuarios finales en sus casas. Así aprovechándose de una vulnerabilidad en dichos dispositivos se consiguen manipular las entradas de DNS y se consigue la redirección deseada. Este ataque ha sido descubierto en postales Flash que aunque aparentemente son inofensivas, en background están intentando conectarse con las direcciones más típicas de estos routers para realizar un “pharming” en sus tablas DNS.

Moraleja, no te fíes de postales Spam y mantén siempre la alerta.

José María Arce Guillén
S21sec Labs