"Esta zona del blog no será actualizada. Visita el nuevo Blog del Laboratorio Hispasec"

27
diciembre
2007

Nuevo ataque de router-pharming contra Banamex

reincidente
El pasado mes describíamos un nuevo método de fraude bancario que aprovechaba vulnerabilidades de routers para realizar un pharming. Acaba de llegarme un clon del ataque, actualizando la IP que inyectan en el pharming para que apunte al servidor web donde se hospeda el nuevo phishing de Banamex.




Hace unos días UNAM-CERT publicó un buen análisis del tema, lectura recomendada: Vulnerabilidad de autenticación en ruteadores 2Wire.


Sobre mi idea, de que estaría bien que los motores antivirus incluyeran una firma para detectar los exploits y prevenir este ataque, parece que ha caido en saco roto, ninguno lo detecta. De nuevo ataque transparente, se tenga antivirus y/o firewall instalado en el PC.


Estamos de acuerdo en que no es responsabilidad de un antivirus detectar un ataque destinado al router. Pero teniendo en cuenta que hoy día un antivirus se ha convertido en un anti-todo, que este ataque es crítico (les puede costar el dinero a los afectados), y que forzosamente requiere que el código se ejecute en el PC del usuario, sería todo un detalle que lo detectaran.


Si este ataque, en vez de producirse contra una única entidad mexicana, hubiera sido llevado a cabo contra varias entidades USA y publicitado en algún medio internacional, ¿la respuesta sería la misma?


Prometo dedicar un boletín una-al-día al primer motor antivirus que lo haga, a ver quién quiere un poco de promoción gratuita pero merecida (y no es una inocentada, que estoy escribiendo este post el día 27) ;)


Actualización (2007/12/27 23:45): Se me ha pasado comentar que la vulnerabilidad fue descubierta y notificada el pasado agosto, tal y como se puede apreciar en el aviso original Cross Site Request Forgery en routers 2wire.

Enviado por bquintero a las 21:11 | Enlace permanente | Comentarios (5) | Trackbacks (0)
Comentarios
Re: Nuevo ataque de router-pharming contra Banamex

Impresionante la manera en que estos nuevos maleantes (por no usar otra palabra) secuestran el ruteador. Bueno. Ya me sucedió. Hace un par de días, ¿y ahora cómo lo reparo? ¿hay manera?

Posted by: Ricardo at diciembre 31,2007 08:34
Re: Nuevo ataque de router-pharming contra Banamex

Aqui lo que se debe considerar es no usar los equipos de ruteo que tienen vulnerabilidades de modo que se puedan vulnerar.... ejemplo no usen el equipo como router usenlo como Bridge...poniendo un elemento de seguridad mejor que el ya mencionado router un firewall como tal... si no se puede otra forma seria no usen el DHCP del equipo ya que asigna a el mismo como DNS... mejor asignen DNS publicos que en "teoria" debieran estar protegidos contra este tipo de ataques... es decir usen direccionamiento estatico con DNS basados en un servicio de su proveedor que en "teoria" el proveedor tendria mas seguridad que la que puede tener el simple modem adsl...

Posted by: Felix at enero 11,2008 18:52
Re: Nuevo ataque de router-pharming contra Banamex

Hay mas informacion en:
http://www.robosbancarios.com/2008/01/pharming_en_los_bancos.html

Segun, un producto de Norton, si tiene proteccion contra el pharming, ya sea modificacion del modem, o archivo host, ya que el programa analiza la ip del servidor y reporta si es fraudulenta o no

Posted by: Ivan at enero 22,2008 04:25
Re: Nuevo ataque de router-pharming contra Banamex

yo hice el atake

Posted by: iieah at mayo 26,2008 06:06
Re: Nuevo ataque de router-pharming contra Banamex

jajajaja lammersillos

Posted by: xD at mayo 26,2008 06:06
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/263/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario

Está deshabilitado la publicación de comentarios