VPNFilter: lo que se dijo, no era todo

VPNFilter
VPNFilter

Resulta que la amenaza del malware de botnet VPNFilter que se descubrió a fines del mes pasado va más allá de lo que inicialmente creí.

Investigadores de seguridad de la inteligencia cibernética Talos de Cisco descubrieron hoy más detalles sobre el malware VPNFilter, una pieza avanzada de malware IoT botnet que infectó a más de 500,000 routers en al menos 54 países, permitiendo a los atacantes espiar a los usuarios y realizar operaciones cibernéticas destructivas.

Inicialmente, se creía que el malware se enfoca en los routers y con el almacenamiento conectado a la red de Linksys, MikroTik, NETGEAR y TP-Link, pero un análisis más profundo realizado por investigadores revela que VPNFilter también piratea dispositivos fabricados por ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL y ZTE.

En primer lugar, he determinado que este actor está siendo blanco de este tipo de ataques, incluidos algunos de proveedores que son nuevos en la lista de objetivos. También se descubrieron nuevos dispositivos de Linksys, MikroTik, Netgear y TP-Lin.

Para secuestrar dispositivos fabricados por proveedores afectados que adelanto, el malware simplemente se basa en vulnerabilidades conocidas públicamente o usa credenciales predeterminadas, en lugar de explotar las vulnerabilidades de día cero.

VPNFilter “SSLER” – Módulo de ataque del hombre en el medio

Además de esto, se han revelado detalles técnicos sobre un nuevo módulo de etapa 3, llamado “ssler”, que es un analizador de paquetes de red avanzado que, si está instalado, permite a los piratas informáticos interceptar el tráfico de red que pasa a través de un enrutador infectado y entregar cargas maliciosas usando el hombre ataques en el medio.

“El módulo Ssler proporciona exfiltración de datos y capacidades de inyección de JavaScript mediante la interceptación de todo el tráfico que pasa a través del dispositivo destinado para el puerto 80″, dicen los investigadores.

3era Etapa

Este módulo de tercera etapa también hace que el malware sea capaz de mantener una presencia persistente en un dispositivo infectado, incluso después de un reinicio.

El módulo ssler ha sido diseñado para entregar cargas útiles maliciosas personalizadas para dispositivos específicos conectados a la red infectada utilizando una lista de parámetros, que define el comportamiento del módulo y los sitios web a los que se debe orientar.

Estos parámetros incluyen configuraciones para definir la ubicación de una carpeta en el dispositivo donde se deben almacenar los datos robados, la dirección IP de origen y de destino para crear reglas de “iptable”, así como también la URL específica de la inyección de JavaScript.

Sígueme en Twitter