Ataque mormente direcionado aos routers do Brasil, com o intuito de explorar as configurações do DNS. Os users são direcionados a uma página maliciosa relacionada com sites bancários, onde colocam lá os seus dados.

O exploit usado é capaz de chegar aos switches vulneráveis e alterar as configurações do servidor de DNS para apontar a outro servidor sob o controlo do hacker.

Quando o user se liga ao website, primeiro o servidor de DNS é questionado para determinar o hostname. E aqui, alterando o DNS no router, os users seguem então para os sites maliciosos sem se darem conta, acreditando serem legítimos.

POC:

/dnscfg.cgi?dnsPrimary=&dnsSecondary=&dnsDynamic=0&dnsRefresh=1

Routers que permitem uma configuração não-autenticada remota do servidor de DNS.

O investigador afirma que:"The uniqueness about this approach is that the hijacking is performed without any interaction from the user, phishing campaigns with crafted URLs and malvertising campaigns attempting to change the DNS configuration from within the user’s browser have been reported as early as 2014 and throughout 2015 and 2016. In 2016, an exploit tool known as RouterHunterBr 2.0 was published on the internet and used the same malicious URLs, but there are no reports that Radware is aware of currently of abuse originating from this tool."

Este ataque é muito eficaz, porque o user não está de forma alguma consciente da mudança. O hijacking neste caso funciona sem mudar o URL no browser.