11 ago. 2020

Secuestran nodos de salida Tor para ataques de eliminación de SSL

Según el informe de nusenu, un grupo de delincuentes informáticos que han secuestrado nodos de salida de Tor controla el 10% de este tipo de ataques en la actualidad. Sin embargo llegaron a representar hasta el 25%. Llevan unos meses de actividad, ya que hay constancia desde al menos enero de 2020 pero el crecimiento de los relays maliciosos viene desde 2015.

Este "misterioso grupo", como así lo nombran, ha estado agregando servidores a la red Tor para realizar ataques de eliminación de SSL en los usuarios que acceden a sitios relacionados con criptomonedas a través de este navegador. Como sabemos, estos son los servidores a través de los cuales el tráfico de usuarios sale de la red Tor y accede a la red de Internet pública

Como decimos, han llegado a tener una cuarta parte de todos los nodos de salida de Tor. Eso ocurrió durante el mes de mayo. Si tenemos en cuenta su punto máximo, el momento en el que tenían más nodos de salida de Tor controlados, la cifra ascendió a 380. Lógicamente desde el equipo de Tor han realizado diferentes intervenciones para eliminar esta red.

 

Este grupo de investigadores de seguridad indican que los atacantes están realizando ataques de Man-in-the-Middle a los usuarios de Tor al manipular el tráfico conforme pasan a través de sus nodos de salida. Apuntan principalmente a sitios web relacionados con criptodivisas.

El objetivo de estos ataques Man-in-the-Middle es ejecutar ataques de "eliminación de SSL" degradando el tráfico web del usuario de URL HTTPS a alternativas HTTP menos seguras. Ya sabemos que en el primer caso el tráfico va cifrado pero que si navegamos a través de HTTP podríamos exponer la información y dar lugar a intrusos.

En este sentido, indicaron también que el que el objetivo principal de estos ataques de eliminación de SSL era permitir que el grupo reemplazara las direcciones de Bitcoin dentro del tráfico HTTP que va a los servicios de intercambio de esta popular moneda digital.

Estos servicios de intercambio permiten a los usuarios el envío de criptomonedas a otra dirección. Pasa por diferentes direcciones intermedias antes de llegar al destino. El objetivo es reemplazar la dirección de destino en el nivel de tráfico HTTP. De esta forma los atacantes secuestraron los fondos del usuario sin el conocimiento tanto de la víctima como de los servicios de intercambio de Bitcoin.

Fuente: Nusenu

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!