Un posible ataque masivo de envenenamiento DNS ha sido detectado en México, aseguró la compañía de soluciones de seguridad e investigación, Trend Micro.

La compañía confirmó que investigadores de TrendLabs han recibido reportes de este posible ataque cuyo vehículo es la ingeniería social, descarga de código malicioso y pharming al ser modificados los módems DSL remotamente para que, cuando el usuario pretenda accesar al sitio Banamex.com, sea redirigido a un sitio apócrifo donde código malicioso sería inyectado a su computadora personal.

Según el reporte de los laboratorios de investigación en seguridad, el ataque inicia con la explotación de una vulnerabilidad de los módems 2Wire que permite a los atacantes modificar los servidores y hosts DNS locales.

Telmex es uno de los principales proveedores de servicio de Internet en México a través de los módems 2Wire, y Trend Micro calcula que cientos de miles de módems y más de 2 millones de usuarios  podrían estar en riesgo.

Mensaje señuelo para realizar el exploit

Juan Pablo Castro, ingeniero de Trend Micro, asegura que el exploit llega con un mensaje de correo de noticias que incluye un código de explotación. El título del mensaje y el encabezado del artículo es “EU dio 40 años a principal operador del Cartel de Tijuana”. 

El mensaje, contiene embebido un tag "img src". De esta manera, asegura Trend Micro, una vez que un usuario abre el correo en su formato HTML, el código intenta automáticamente acceder a la consola Web del módem y modificar la base de datos del host local.

Pero después de ello, el ataque apenas comienza, pues aseguran que después de que se ha modificado la base de datos del host local, todas las solicitudes que los usuarios hagan para accesar al sitio de banamex.com, son redirigidas al sitio fraudulento, donde el atacante podrá infectar la PC con lo que desee.

“Para los usuarios afectados que quieren tener acceso al sitio bancario, incluso cuando escriben banamex.com, que es un nombre de dominio legítimo, no malicioso y totalmente calificado (FQDN), son dirigidos a un sitio fraudulento. Creo que todos sabemos como va el resto de la historia”, señala Trend Micro.

El mensaje malicioso también promete un supuesto video que incluye un enlace que apunta a un URL malicioso donde el archivo .RAR Video_Narco.rar puede descargarse. Este archivo contiene el archivo malicioso Video_Narco.exe, que Trend Micro detectó como TROJ_QHOST.FX.

En caso de que la computadora del usuario quede a merced del atancante y sea redirigido a un sitio apócrifo, Trend Micro bloquea todos los URL/IP maliciosos relacionados con su Web Treat Protection. De acuerdo a información proporcionada por el proveedor de seguridad, los estos usuarios recibirán una notificación de una posible actividad de pharming en sus navegadores como se muestra en la ilustración.

Ilustración proporcionada por Trend Micro

El Departamento de Seguridad en Cómputo en México, UNAM-CERT, publicó a principios de diciembre una alerta en la que comunicó la detección de vulnerabilidades en ruteadores caseros de 2Wire para conexión a Internet. Tales consistían en explotar fallas en la autenticación a través de una ejecución remota de código.

Los modelos probados por UNAM-CERT en los que fueron detectadas las fallas son 2Wire 2700 HG Gateway y 2701 HG Gateway. El documento en el cual se detalla el proceso de ataque fue colocado en Internet por personal del Departamento.

Actualización publicada el 15 de enero a las 19:42 horas