El nombre de este nuevo ataque es DoubleDirect, y
es que una vez que se ha redirigido el tráfico, el atacante puede robar todos
los credenciales e incluso añadir un payload malicioso para infectar el
dispositivo y posteriormente infectar la red corporativa.
Zimperium Mobile Security Labs ha investigado durante el año pasado esta nueva técnica que están usando cibercriminales para realizar ataques Man In The Middle (MITM) y redireccionar el tráfico de la víctima hacia el dispositivo del atacante.
Aplicaciones y paises afectados
- El tráfico de servicios tan populares como Google, Facebook, Twitter o Hotmail, se redirige durante estos ataques en el dispositivo de la víctima.
- Algunos de los países en los que se han identificado estos ataques son por ejemplo España, Canadá, Francia, Suiza, Rusia, Reino Unido y otros muchos.
- Este nuevo ataque envía un ICMP de tipo 5 para modificar la tabla de enturamiento de un host. La tabla de enrutamiento se utiliza para enviar mensajes a un determinado host por la mejor ruta disponible en ese momento. Al modificar la tabla de enrutamiento de la víctima, en lugar de enviar los datos por una ruta legítima y que será la mejor ruta posible, la enviará hacia una subred con una IP arbitraria donde el atacante podrá realizar un ataque MITM e incluso comprometer el dispositivo explotando vulnerabilidades conocidas. De esta forma también se podría incluso acceder a la red corporativa.
- En DoubleDirect, se está utilizando la técnica de ICMP Redict pero en full-dúplex, en lugar de los tradicionales ataques ICMP Half-Dúplex, ya que Zimperium Mobile Security Labs descubrió que los atacantes son capaces de predecir las IPs a la que accede la víctima. ¿Cómo lo consiguieron? Según Zimperium Mobile Security Labs fue a través de las peticions DNS que realizó la víctima.
- Muy recomendable visitar el post de Zimperium Mobile Security Labs donde han publicado una Prueba de Concepto (PoC) que nos permite simular el ataque de estos cibercriminales http://blog.zimperium.com/doubledirect-zimperium-discovers-full-duplex-icmp-redirect-attacks-in-the-wild/