Nuevo ataque Man-in-the-Middle llamado DoubleDirect Attack dirigido a usuarios de Android e iPhone

Table Of Contents

• Nuevo ataque Man-in-the-Middle llamado DoubleDirect Attack dirigido a usuarios de Android e iPhone
• DoubleDirect
• ¿Cómo funciona DoubleDirect?
• ¿Quién está en riesgo?

Nuevo ataque Man-in-the-Middle llamado DoubleDirect Attack dirigido a usuarios de Android e iPhone

Investigadores de Zimperium Mobile Security Labs han descubierto que los ciberdelincuentes están utilizando un nuevo método de ataque Man-in-the-Middle para dirigirse a usuarios de smartphones Android e iPhone con bastante éxito. Los investigadores de Zimperium han nombrado a este nuevo ataque como DoubleDirect Attack.

DoubleDirect

La técnica llamada DoubleDirect permite a un atacante redirigir el tráfico de una víctima hacia el dispositivo del atacante. Una vez redirigido, el atacante puede robar credenciales y entregar cargas maliciosas al dispositivo móvil de la víctima que no solo pueden infectar rápidamente el dispositivo, sino también propagarse a través de una red corporativa”, según la firma de seguridad móvil Zimperium.

Zimperium también detectó que la técnica DoubleDirect fue utilizada contra los clientes de sitios web importantes como Google, Facebook, Twitter, Hotmail, Live.com, Naver.com (coreano) y otros. Zimperium dice que el método de ataque se está explotando ampliamente en al menos 31 países de todo el mundo, a saber, Serbia • Australia • Irak • Kazajistán • Polonia • Indonesia • Israel • Letonia • Finlandia • México • Egipto • Reino Unido • Austria • Colombia • Grecia • Brasil • Canadá • Francia • Argelia • Federación Rusa • Suiza • Italia • Alemania • España • Arabia Saudita • Países Bajos • India • Malta • Baréin • Estados Unidos y China.

Los investigadores de Zimperium dicen que el principal motivo de los ciberdelincuentes que utilizan el ataque DoubleDirect es obtener información confidencial de las víctimas, correos electrónicos y credenciales, información bancaria y credenciales y otras contraseñas.

¿Cómo funciona DoubleDirect?

Los atacantes que utilizan el método DoubleDirect emplean paquetes ICMP Redirect (tipo 5) para modificar las tablas de enrutamiento de un host. Este método es utilizado legítimamente por los enrutadores para notificar a los hosts en la red que hay una mejor ruta disponible para un destino particular. Sin embargo, en el caso del ataque DoubleDirect, el atacante utiliza paquetes ICMP Redirect para alterar las tablas de enrutamiento en el host víctima, haciendo que el tráfico fluya a través de un camino de red arbitrario para una IP particular. Como resultado, el atacante puede lanzar un ataque MITM, redirigiendo el tráfico de la víctima a su dispositivo. Una vez redirigido, el atacante puede comprometer el dispositivo móvil encadenando el ataque con una vulnerabilidad adicional del lado del cliente (por ejemplo: vulnerabilidad del navegador), y a su vez, proporcionar al atacante acceso a la red corporativa.

Los investigadores de Zimperium encontraron que en el caso del ataque DoubleDirect, los hackers están utilizando una implementación previamente desconocida para lograr MITMs de dúplex completo utilizando ICMP Redirect. Los ataques tradicionales de ICMP Redirect tienen limitaciones y se conocen como MITM de medio dúplex.

Zimperium Mobile Security Labs investigó las amenazas y determinó que los atacantes son capaces de predecir las IPs que están siendo accedidas por la víctima. Zimperium ha subido una Prueba de Concepto completa para el ataque DoubleDirect que se puede descargar aquí.

¿Quién está en riesgo?

iOS: Los investigadores de Zimperium notaron que el ataque DoubleDirect funciona en las últimas versiones de iOS, incluyendo iOS 8.1.1, por lo que todos los iPhones son vulnerables a este ataque.

Android: Los investigadores de Zimperium afirmaron que el ataque DobuleDirect funcionó en la mayoría de los dispositivos Android, incluyendo Nexus 5 con el último sistema operativo Android 5.0 lollipop.

Mac OS X Yosemite: Los investigadores de Zimperium dicen que los usuarios de Mac OS X Yosemite también son potencialmente vulnerables, pero los usuarios de Windows y Linux parecen ser inmunes porque tanto el sistema operativo Windows como Linux no aceptan paquetes de redirección ICMP que transportan tráfico malicioso por defecto.

Ni Google ni Apple han comentado oficialmente sobre los hallazgos de los investigadores de Zimperium hasta ahora.