Los ataques contra los ruteadores domésticos han estado presentes durante años – desde el malware que manipula a los ruteadores hasta los ataques de DNS y backdoors, entre otros. Tan sólo el año pasado, uno de nuestros investigadores reportó un malware que modifica el Domain Name System (DNS) para dirigir a los usuarios a páginas maliciosas cuando visitaban sitios web específicos.
Recientemente, nos encontramos con un ataque que demuestra cómo el Internet de las Cosas (IoT) puede convertirse en un punto de entrada para las actividades criminales. En este ataque, que ha estado ocurriendo desde diciembre de 2015, se requiere que los usuarios tengan acceso a través de sus dispositivos móviles a sitios web maliciosos que hospedan el JavaScript. El acceso a estos sitios a través de dispositivos móviles permite que el JavaScript descargue otro JavaScript con rutinas para modificar el DNS.
Detectado como JS_JITON, este JavaScript puede descargarse si los usuarios acceden a sitios web comprometidos a través de sus computadoras o de sus dispositivos móviles. Sin embargo, la cadena de infección difiere dependiendo del medio que utilicen los usuarios. Por ejemplo, JS_JITON descarga JS_JITONDNS que únicamente infecta a los dispositivos móviles e inicia la rutina de cambio del DNS. JITON sólo explota la vulnerabilidad si los usuarios afectados tienen módems ZTE.
Los ataques contra los ruteadores domésticos han estado presentes durante años – desde el malware que manipula a los ruteadores hasta los ataques de DNS y backdoors, entre otros. Tan sólo el año pasado, uno de nuestros investigadores reportó un malware que modifica el Domain Name System (DNS) para dirigir a los usuarios a páginas maliciosas cuando visitaban sitios web específicos.
Recientemente, nos encontramos con un ataque que demuestra cómo el Internet de las Cosas (IoT) puede convertirse en un punto de entrada para las actividades criminales. En este ataque, que ha estado ocurriendo desde diciembre de 2015, se requiere que los usuarios tengan acceso a través de sus dispositivos móviles a sitios web maliciosos que hospedan el JavaScript. El acceso a estos sitios a través de dispositivos móviles permite que el JavaScript descargue otro JavaScript con rutinas para modificar el DNS.
Detectado como JS_JITON, este JavaScript puede descargarse si los usuarios acceden a sitios web comprometidos a través de sus computadoras o de sus dispositivos móviles. Sin embargo, la cadena de infección difiere dependiendo del medio que utilicen los usuarios. Por ejemplo, JS_JITON descarga JS_JITONDNS que únicamente infecta a los dispositivos móviles e inicia la rutina de cambio del DNS. JITON sólo explota la vulnerabilidad si los usuarios afectados tienen módems ZTE.
Figura 1. El número de detecciones de JS_JITON (5 de enero – 4 de abril de 2016)
Figura 2: Un JavaScript ofuscado malicioso hospedado en sitios Web legítimos
Al analizar los códigos, descubrimos que se menciona a fabricantes de ruteadores bastante conocidos: D-Link, TP-LINK y ZTE. TP-LINK representa el 28% de las ventas de ruteadores, lo que lo convierte en el primer fabricante de ruteadores en el primer trimestre de 2015.
Aunque el ataque utilizó sitios web comprometidos en ciertos países de Asia y en Rusia, afectó a varios otros países. De acuerdo con datos de nuestra Smart Protection Network, los principales países afectados fueron Taiwán, Japón, China, Estados Unidos y Francia. Los fabricantes de ruteadores D-Link y TP-Link son marcas taiwanesas y chinas, respectivamente, y por tanto esto puede ser el factor determinante del alto porcentaje de usuarios afectados.
Figura 3: Los 10 principales países afectados por JS_JITON en los últimos 3 meses.
Los criminales que están detrás de este incidente emplean un mecanismo de evasión para pasar inadvertidos y continuar su ataque sin despertar sospechas de los usuarios afectados. Dichas tácticas incluyen la actualización regular de los códigos JavaScript para solucionar errores y cambiar constantemente los ruteadores domésticos atacados. Los sitios comprometidos son difíciles de identificar debido a la falta de un comportamiento sospechoso. También observamos durante el curso de nuestra investigación que tiene una función de keylogging que permite que esta amenaza reúna contenidos escritos en sitios específicos. Sin embargo, al momento de redactar este blog, esta función ya se había eliminado.
Ahondando en el código
Estos JavaScripts maliciosos contienen más de 1,400 combinaciones de información para iniciar sesión. Usando estas listas de contraseñas utilizadas comúnmente, la configuración de DNS de los ruteadores domésticos puede sobrescribirse. Hay códigos dentro de ciertos scripts que pueden sobrescribir las configuraciones de DNS a través de la vulnerabilidad CVE-2014-2321 que existe en ZTE. Cuando se explota con éxito, los atacantes pueden enviar remotamente comandos arbitrarios con privilegios de administrador.
Cabe mencionar que estas configuraciones de DNS pueden sobrescribirse sólo cuando los usuarios acceden a sitios web comprometidos a través de sus dispositivos móviles. Además de esto, los códigos aparecen entre corchetes y no funcionan adecuadamente cuando se ejecutan. Si bien no sabemos exactamente el motivo detrás de la adición de dichas características en primer lugar, pero podemos suponer que esto se debe a la proliferación y al aumento del uso de dispositivos móviles. También existe la posibilidad que estas características se utilicen para probar los propósitos ya que estos scripts se actualizan regularmente.
Figura 4: La lista de IDs y contraseñas para iniciar sesión
Figura 5: Parte de los scripts que modifican las configuraciones de DNS a través de la vulnerabilidad CVE-2014-2321
El conocimiento es fundamental en la era de la digitalización
Las amenazas contra los ruteadores domésticos probablemente van a proliferar, especialmente en la era de la digitalización de dispositivos. Aunque el IoT tiene beneficios, también representa riesgos de seguridad y de privacidad para los usuarios de los ruteadores domésticos. En este caso, vimos cómo los atacantes aprovecharon las brechas de seguridad que pueden provocar el robo de información.
Los usuarios pueden prepararse contra dichos riesgos al tomar las siguientes medidas de seguridad:
- Mantener actualizado el firmware de los ruteadores con los parches más recientes
- Evite utilizar identificaciones y contraseñas predeterminadas
A veces, la gente ignora la importancia de mantener actualizado el firmware. Los dispositivos administrativos, especialmente en la era del IoT, son vulnerables a los ataques que podrían poner en riesgo a la privacidad y a la seguridad de los usuarios. Es mejor saber cómo estos dispositivos inteligentes operan y qué tipo de información personalmente identificable pueden recolectar estos dispositivos. Saber lo seguro que son los dispositivos inteligentes y los tipos de riesgos de seguridad su uso puedan provocar son algunos de los medios para protegerse usted y sus datos contra amenazas como JITON.
Las soluciones de Trend Micro como Trend Micro Security, Smart Protection Suites y Worry-Free Business Security pueden proteger a los usuarios y a las empresas contra esta amenaza al bloquear todos los URLs maliciosos relacionados, y detectar los archivos maliciosos. Trend Micro Mobile Security Personal Edition y Mobile Security Solutions también bloquean todos los URLs maliciosos relacionados que se utilizan en este ataque.
Indicadores de Compromiso
Leave a Reply