Los usuarios del enrutador Home Linksys fueron atacados en un ataque cibernético masivo que cambió la configuración del enrutador y redirigió las solicitudes de páginas web y dominios específicos a páginas de destino maliciosas con el tema de Coronavirus que quedaron atrapadas con malware.
Los investigadores identificaron el ataque el mes pasado y, a principios de esta semana, Linksys presionó reiniciar a los usuarios de su aplicación Linksys Smart Wi-Fi para mitigar los ataques futuros y pasados.
Los piratas informáticos obtuvieron acceso a al menos 1.200 cuentas de Wi-Fi inteligente de Linksys a través de lo que se cree que son ataques de relleno de credenciales, según Linksys, propiedad de la empresa matriz Belkin. La aplicación Linksys Smart Wi-Fi es una página web protegida por contraseña que permite a los clientes administrar fácilmente sus configuraciones de Wi-Fi y enrutador. Una vez comprometidos, los atacantes manipularon la función de enrutamiento del sistema de nombres de dominio del dispositivo para que las víctimas visitaran involuntariamente páginas web maliciosas.
“[El] ataque apunta a enrutadores domésticos y cambia su configuración de DNS para redirigir a las víctimas a un sitio web que sirve malware que ofrece el infostealer Oski como carga final”, escribieron los investigadores de Bitdefender en una publicación posterior al 25 de marzo.
Según un boletín de seguridad de Linksys , el 2 de abril, los usuarios de Smart Wi-Fi fueron bloqueados de sus cuentas debido a que Linksys inició los esfuerzos de mitigación. “Por precaución, bloqueamos todas las cuentas de Wi-Fi inteligente de Linksys para evitar más intrusiones. Desafortunadamente, eso significa que tienes que cambiar tu contraseña “, escribió Linksys.
Los investigadores dijeron que los ataques comenzaron el 18 de marzo, alcanzando su punto máximo el 23 de marzo. Los ataques redirigieron las solicitudes a muchos dominios, incluidos Disney.com, RedditBlog.com, AWS.Amazon.com, Cox.net y Washington.edu.
“Al tratar de llegar a uno de los dominios anteriores, los usuarios son redirigidos a una dirección IP … que muestra un mensaje de la Organización Mundial de la Salud, que les dice a los usuarios que descarguen e instalen una aplicación que ofrece instrucciones e información sobre COVID-19”. Los investigadores escribieron.
La descarga, o carga de malware, era un archivo .exe malicioso de uno de los cuatro repositorios de Bitbucket. El archivo .exe no fue la carga útil final de Oski Infostealer, sino más bien un cuentagotas que eliminó el malware de un servidor de comando y control controlado por piratas informáticos.
El malware Oski es nuevo y se encuentra en las primeras etapas de su desarrollo, pero tiene un impacto sofisticado, según la investigadora Aditya K. Sood en un análisis de enero de la herramienta de recolección de datos . Oski está proliferando en América del Norte y China.
A principios de este año, los cibercriminales vendían el malware en mercados ilícitos en línea como parte de una oferta de malware, o incluso los operadores están vendiendo el paquete completo, dijo Sood.
Bitdefender dijo que, de los ataques recientes, no puede decir con certeza si los enrutadores Linksys comprometidos fueron parte de una serie de ataques de credenciales de fuerza bruta.
“Todavía no está claro cómo se ven comprometidos los enrutadores, pero, según la telemetría disponible, parece que los atacantes están imponiendo fuerza bruta a algunos modelos de enrutadores Linksys, ya sea accediendo directamente a la consola de administración del enrutador expuesta en línea o imponiendo fuerza bruta a la cuenta en la nube de Linksy”, dijeron los investigadores.
Linksys ha declarado que los enrutadores se vieron comprometidos a través de ataques de fuerza bruta.
Las cuentas Linksys Smart Wi-Fi “permiten a los usuarios marcar de forma remota en su red doméstica desde un navegador o dispositivo móvil, utilizando una cuenta en la nube de Linksys a la que se puede acceder desde fuera de la red doméstica. Dado que la mayoría de los enrutadores específicos parecen involucrar a este fabricante en particular, es posible que este sea también un vector de ataque que los atacantes explotan ”, dijeron los investigadores.
Linksys no respondió preguntas para comentar sobre esta historia.
En su boletín de seguridad, aconseja a los usuarios : “Obtenga un enlace para restablecer la contraseña yendo a https://linksys.com/reset. O puede hacerlo haciendo clic en ¿Olvidó su contraseña? en la aplicación Linksys o Linksys Smart Wi-Fi en un navegador “.