Sistemas Linux son responsables del 50% de los ataques DDoS

cwv.- Aunque el 90% de los ataques DDoS se prolongan durante menos de 24 horas, el número de los que superó las 150 horas ha aumentado significativamente. Las botnets basadas en Linux acapararon más del 45% de los ataques.

Kaspersky Lab ha publicado su informe trimestral sobre DDoS, que revela que los ataques del tercer trimestre alcanzaron a víctimas de 79 países, siendo China, Estados Unidos y Corea los más atacados. Más del 90% de los ataques duraron menos de 24 horas, aunque el volumen de los que se prolongan por encima de las 150 horas ha crecido significativamente. De hecho, el ataque continuo más largo registrado por Kaspersky duró 320 horas, casi dos semanas.

El estudio señala asimismo que el mayor número de ataques DDoS sufridos por la misma víctima fue 22, los cuales fueron lanzados contra un servidor localizado en los Países Bajos. Las botnets basadas en Linux fueron responsables del 45,6% de todos los ataques detectados por Kaspersky. Las principales razones residen en su escasa protección y en la extensa capacidad de banda ancha.

El informe también destaca que los ataques DDoS siguen estando muy localizados. El 91,6% de los recursos de las víctimas están localizados en 10 países. Además, la mayoría de los ataques DDoS se originan en los mismos países. Aunque otros cibercriminales centrados en acciones como el robo de tarjetas de crédito pueden operar lejos de su país de residencia, no es el caso de los ataques DDoS.

“Basándonos en nuestras observaciones, no podemos señalar una dirección exacta a la que se mueve el negocio de los ataques DDoS. De hecho, la amenaza parece estar creciendo hacia todos sitios. Hemos registrado ataques complejos dirigidos a bancos, demandando un rescate, pero también hemos observado nuevos métodos de bajo coste diseñados para tirar abajo las operaciones de una compañía durante un período de tiempo significativo. Los ataques están creciendo en volumen, con la mayoría de ellos centrados en atacar e interrumpir, pero el número de ataques prolongados, capaces de producir la bancarrota de una empresa desprotegida también van en aumento. Estos hallazgos obligan a las compañías a tomar medidas para prevenir la amenaza real y el creciente riesgo que suponen los ataques DDoS”, explica Evgeny Vigovsky, responsable de Kaspersky DDoS Protection, de Kasperky Lab.

Demos la "bienvenida" a el primer Ransomware que afecta a Linux

softzone.- Windows es el sistema operativo más utilizado de toda la red, por ello la mayor parte de los desarrolladores, al igual que los piratas informáticos, suelen lanzar sus aplicaciones para este sistema. Sin embargo, poco a poco la cuota de mercado de Linux, especialmente en entornos profesionales y servidores, sigue creciendo, lo que llama cada vez más la atención de estos de cara a sacar beneficio de este sistema operativo.

El ransomware es uno de los tipos de malware más peligrosos de los últimos tiempos. Cuando este malware infecta a un usuario automáticamente comienza a cifrar todos sus datos de manera que la única forma de recuperarlos sea mediante el pago de un “rescate“, sin la garantía de que, aunque paguemos a estos piratas, recibamos la clave de descifrado.

Hasta ahora, este tipo de malware solo afectaba a los usuarios de Windows, quienes además tenían bastante complicado el poder defenderse de esta amenaza ya que es difícil de identificar y eliminar incluso por las principales firmas antivirus, sin embargo, es posible que los usuarios de Windows ya no sean los únicos afectados por esto.

Doctor Web, importante empresa de seguridad rusa, ha detectado la primera amenaza de ransomware para los usuarios de Linux, especialmente enfocado a infectar y secuestrar todos los servidores utilizados para alojar páginas web. Esta amenaza, llamada por la empresa de seguridad como Linux.Encoder.1, está escrita en lenguaje C y utiliza la biblioteca PolarSSL para establecer conexiones seguras imposibles de capturar para posteriormente instalarse como servicio, o demonio, del sistema antes de empezar con su temida función.

Una vez funcionando en el sistema, este nuevo malware analiza el sistema de archivos en busca de todos los directorios utilizados principalmente para el desarrollo y el alojamiento de páginas web. Una vez los detecta empieza a cifrar todos los archivos que se encuentran alojados allí, junto a todos los documentos, ficheros personales y archivos multimedia que se encuentren en el ordenador o servidor. Para el cifrado de utiliza un algoritmo AES-CBC-128.

Cuando finaliza su tarea crea un fichero de texto con las instrucciones necesarias para recuperar los archivos, así como la dirección de pago y la cantidad a ingresar que, en este caso, es 1 Bitcoin.

Los usuarios domésticos también en peligro ante este ransomware

Aunque los principales objetivos de este ransomware son los servidores de páginas web, los usuarios no están libres de peligro. Según afirman los expertos de seguridad, este malware puede ser portado fácilmente para infectar y atacar a todo tipo de equipos, por ejemplo, a dispositivos NAS que cada vez son más habituales en entornos domésticos a modo de servidor o sistema de almacenamiento masivo en red.

Por suerte, no todo es tan sencillo como parece. Gracias al sistema de permisos de Linux, para ejecutar este malware en un servidor o equipo Linux es necesario que se haga con permisos de root, por lo que si tenemos controlada la cuenta de superusuario lo más fácil es que no podamos vernos afectados por este malware, a menos que se aproveche una vulnerabilidad de escalada de privilegios o lo ejecutemos manualmente con dichos permisos.

¿Qué opinas sobre este nuevo ransomware? ¿Crees que Linux ya no es un sistema operativo tan seguro como solía ser?

Sitios HTTPS en riesgo de revelar sus llaves privadas a causa de un error crítico

Una serie de descubrimientos recientes sugieren que más sitios web HTTPS, aplicaciones de chat y otros servicios en línea están en riesgo de perder su confidencialidad.

De acuerdo con un especialista en seguridad de Red Hat (la distribución de Linux), los equipos de sistemas vendidos por pocos fabricantes olvidaron ejecutar adecuadamente un estándar de cifrado ampliamente utilizado, una debilidad de divulgación de información que pueda permitir a spammers imitar los sitios que utilizan el hardware defectuoso asegurado por HTTPS.

Un análisis de nueve meses cuestionando miles de millones de sesiones HTTPS de un gran número de localidades IP se ha tenido éxito obteniendo información de 272 llaves, informó el especialista en seguridad de Red Hat Florian Weimer en un documento de exploración publicado la semana pasada. Dado que los resultados estudiados son solo un pequeño porcentaje, la tasa del número general de handshakes del protocolo de seguridad de capa de transporte, numerosas nuevas llaves y productores son propensos a este fallo. Entre los equipos vulnerables hay balanceadores de carga de Citrix y dispositivos Hillstone Networks, ZyXEL, Alteon / Nortel, qNo, Fortinet, Viprinet y BEJY.

El error de divulgación es la repercusión del uso inestable del criptosistema de clave abierta de RSA, entre uno de los pocos sistemas que los sitios asegurados por HTTPS pueden utilizar para llaves comerciar con los visitantes del sitio. Un documento de la exploración publicado en 1996 por el científico Arjen Lenstra advirtió que una mejora a la vista de lo que está apodado como el "teorema chino del residuo" de vez en cuando hace que deficiencias ocurran en medio de la transformación de una firma RSA. Dicho agujero causa que sitios HTTPS que hacen uso del protocolo de "confidencialidad directa perfecta" filtren información que puede ser utilizada para recuperar la utilización de la clave privada del sitio a lo que se denomina como un ataque de canal lateral.
Por lo tanto, alguien presenciando la asociación entre un cliente y la página web y que por casualidad ve cuando sucede el fallo (o hasta el cliente mismo) puede imitar criptográficamente el sitio. La mayoría de los ingenieros prestaron atención a la llamada de Lenstra a presentar contramedidas que comprueban el fallo y evitar que se derrame la información numérica delicada, pero un numero de HTTPS libgcrypt programación incluyendo, GNUTLS y PolarSSL- no contiene tales solidificación de forma predeterminada. Lo que es más, a pesar de que la programación actualiza las comprobaciones, ciertos tipos de configuraciones pueden realmente apagarlos.

Weimer de Red Hat escribió en el periódico de esta semana, "Este informe muestra que todavía es posible utilizar el ataque de Lenstra para recuperar las claves privadas RSA, casi dos décadas después de que el ataque ha sido descrito por primera vez, y que los ataques de canal lateral en base a fallos puede ser relevante incluso en escenarios donde el atacante no tiene acceso físico al dispositivo ". Añadiendo aún más, "El efecto neto es que un observador pasivo con visibilidad del tráfico mundial de Internet es probable que pueda recuperar unas cuantas llaves de RSA de una manera completamente no imputable".

Más o menos como las posibilidades de ganar la loteria, las posibilidades de ver un fallo de RSA son increíblemente bajas, y es muy poco probable que un agresor puede entregar agujeros clave (fugas) para cualquier sitio dado libremente. Aún así, la prueba de 9 meses de Weimer muestra que los enemigos pacientes que están interesados ​​en la imitación de una extensa variedad de sitios web, al final lo conseguirán.


Un porcentaje de los gadgets que Weimer vio derramar información eran en gran medida antiguos. Otros, entre ellos los de Hillstone Redes y ZyXEL, utilizan una versión de "carriage rendition" de la biblioteca OpenSSL código de equipo del proveedor Cavium. La debilidad en sí, CVE-2015-5738, fue en arreglada en la biblioteca de Cavium. Weimer tiene un intercambio mucho más completo de soluciones accesibles en la página 8 del documento que publicó.

Kernel 4.2 de Linux es publicado con mejoras de cifrado

muylinux.- Linux 4.2 ya está con nosotros, e incorpora muchos cambios y novedades interesantes, sobre todo cara a los usuarios de gráficas AMD.

Linux 4.2 añadió para su versión Release Candidate un millón de nuevas líneas de código, mostrando que el kernel Linux es un proyecto vivo que evoluciona a buen ritmo.

El nuevo driver para las GPU AMD es AMDGPU, que al parecer va a tener que mejorar bastante hasta alcanzar los niveles de fiabilidad de su predecesor, Radeon, el cual ha sido capaz de prolongar de manera más que digna la vida útil muchos modelos de gráficas ATI/AMD, sobre todo a partir de la serie 4000. Además del nuevo soporte para gráficas AMD, en Phoronix publicaron hace tiempo las mejoras y novedades que incorporaría Linux 4.2. Yo intentaré resumir lo más importante en la siguiente lista:

• Cifrado de vídeo VCE1 ha sido añadido al driver Radeon.
• El driver de vídeo de VirtIO DRM/KMS, utilizado por los sistemas invitados en KVM/QEMU, ha sido añadido al kernel.
• El código de Intel Assembly x86 ha sido reescrito.
• Soporte para nuevas placas y SoCs ARM: Freescale i.MX7D, ZTE ZX296702, y HiSilicon hi6220.
• Jutter RNG fue añadido en la actualización del subsistema de cifrado.
• NCQ TRIM ha sido mejorado y ahora permite ser habilitado o deshabilitado en caso de tener un SSD pobremente soportado.
• Mejoras en el rendimiento de GFS2.
• Añadido el cifrado por fichero F2FS, que se basa en el diseño de cifrado establecido para EXT4 en Linux 4.1.
• Se ha incorporado soporte para el ratón Logitech M560, el Sony Motion Controller de PlayStation 3 y el Sony Navigation Controller para PlayStation 4.
• El led mando inalámbrico de Xbox ahora funciona.
• Se ha añadido soporte para UEFI ESRT (EFI System Resource Table), siendo este uno de los requerimientos para permitir la actualización del firmware UEFI desde un GNU/Linux desktop.
• Mejoras en el soporte de sonido.

Como se puede apreciar, Linux 4.2 viene cargado de pequeños detalles que pueden alegrar a más de uno, y eso que no he puesto todo lo que me he encontrado, intentando centrarme en lo importante. Para los curiosos, pueden ver el anuncio de lanzamiento publicado por Linus Torvalds y descargarlo desde kernel.org. Para los más fervientes seguidores del Software Libre, que no quieren encontrarse con los privativos, Linux-libre 4.2 también está disponible.

Para Linux 4.3 se espera que el driver Nouveau, Open Source y destinado para las GPU NVIDIA, reciba toda una vuelta de tuerca, después de no incorporar novedades importantes en Linux 4.2. También se espera que el driver de EXT3 sea eliminado.

Un drone que roba datos mientras vuela sobre ti

(wwwhatsnew) - Con un raspberry Pi ejecutando Kali Linux, distribución que fue diseñada principalmente para la auditoría y seguridad informática, es posible crear un drone que robe datos informáticos de cualquier lugar.

El secreto está precisamente en el linux que lleva instalado, ya que incluye más 600 programas especializados en escanear puertos, obtener passwords y realizar pruebas de seguridad en redes inalámbricas. El drone en cuestión se encargaría de sobrevolar el despacho e ir capturando todo lo que encuentra en los dispositivos que allí estén instalados.

Con el nombre Aerial Assault, ha sido creado por investigadores que apuestan por la tecnología opensource, permitiendo así que se adapte a las necesidades de los clientes que lo adquieran (generalmente profesionales de seguridad que buscan agujeros para poder corregirlos posteriormente). Aún así, si cae en malas manos, podría volar por el exterior de un edificio capturando datos de todas las oficinas que allí se encuentran.

Comentan en edgadget que tiene un precio de 2.500 dólares, y lo pondrán a la venta en wallofsheep.com durante los próximos días.

Como ves en la imagen, su aspecto llama bastante la atención, aunque seguramente la versión final, la que se venderá, tendrá un acabado más discreto para que haga bien su trabajo de espía. ¿La solución?, ser proactivos y asegurarse de que las comunicaciones en nuestra empresa están perfectamente cifradas y con un buen protocolo de seguridad.

Actualiza Firefox: Evita el robo de tu información

(welivesecurity) - Estas últimas semanas hemos visto anuncios de varias empresas solicitando que actualicen alguno de sus productos para que reciban un parche de seguridad que soluciona una vulnerabilidad que podría ser aprovechada por un atacante. Desde los sitios web de WordPress hasta Chrysler con sus automóviles, en esta ocasión se trata de Mozilla que ha instado a todos los usuarios a que actualicen de inmediato a la versión 39.0.3 de Firefox.

Tal como se anunció en el blog de seguridad de Mozilla, el 5 de agosto recibieron un mensaje de un usuario que los alertaba sobre que una publicidad de un sitio ruso se aprovechaba de una vulnerabilidad para robar datos de los usuarios. Al parecer la vulnerabilidad provenía del lector de PDF incluido en el navegador en combinación con un ataque de Javascript, que le permitía a los atacantes robar cualquier tipo de información sensible de los equipos que visitaran sitios que contuvieran esos anuncios maliciosos.

Según afirma Mozilla, las versiones que no incluyen el visor PDF, entre las que se encuentra el navegador para Android, no están afectadas por este tipo de ataques ya que dicha herramienta es aprovechada para llevar a cabo el robo de información. Algo que hace más peligroso este tipo de ataque es que el código malicioso fue diseñado para no dejar rastros sobre el robo que cometió.

La empresa además afirmó que la mayor cantidad de casos afectados se trataban de equipos que corrían sistemas Windows y Linux, y que la información que este código malicioso buscaba robar eran archivos de configuración de FTP, información de cuentas de Windows y archivos de configuración globales y directorios de usuarios en sistemas Linux. Al parecer, toda esa información robada era alojada en servidores que estaban ubicados en Ucrania.

Este rifle de francotirador se puede hackear y cambiar de objetivo

(europapress) - Hace unos meses, la compañía fabricante de los rifles de francotirador TrackingPoint, que integran un pequeño ordenador como sistema de apunte automático para no fallar nunca el disparo, anunciaba el cese de su producción debido a una inminente bancarrota. Ahora, como si de la peor de las anomalías se tratara, se ha descubierto que estas armas de fuego controladas con Linux se pueden hackear de forma remota, bien para ser desactivadas o... para elegir un nuevo blanco.El hallazgo será presentado en la próxima conferencia de hacking Black Hat por Runa Sandvik y su marido Michael Auger, la pareja que, tras un año inspeccionando dos de estos rifles de francotirador valorados en $17,000 dólares, ha descubierto la forma de hackear el arma de fuego y dejar completamente inservible su sistema de apunte automático, que informa al tirador del punto exacto en el que disparar para realizar un tiro preciso, como si del tutorial de un 'shooter' se tratara.

No obstante, hay dos aspectos positivos en todo esto: el hackeo del rifle TrackingPoint de forma remota permite modificar la trayectoria del disparo pero no permite disparar el arma desde cero, al estar controlado por un sistema mecánico que requiere de la presión de un dedo real sobre el gatillo. Por otro lado, solo hay unos 1.000 ejemplares de este rifle en manos de clientes.

Actualmente, la compañía fabricante del rifle informatizado está pasando por una reestructuración, ha despedido a la mayor parte de su personal y ha cesado el envío del producto, con lo que cabe esperar que se dirija de forma inevitable hacia su desaparición, más aún después de esta noticia.

Desgraciadamente, esta empresa no será la única en poner armas informatizadas en manos del público, y si un arma es ya de por sí, bastante impredecible, un arma hackeable es una ruleta rusa.

Mumblehard: Contagio a Wordpress convierte servidores Linux en robots de spam

El malware Mumblehard está convirtiendo servidores Linux y BSD en zombies repartidores de spam

Imagen: Mashable

Los investigadores de seguridad de ESET han registrado más de 8.500 direcciones IP únicas durante un periodo de investigación de siete meses centrados en amenaza de malware ligado al correo spam.

Mumblehard se compone de dos componentes diferentes. El primer componente es un backdoor genérico que solicita comandos de su servidor de comando y control. El segundo componente es un proceso "con todas las funciones de demonio (daemon) spammer", que se pone en marcha a través de una orden recibida a través de la puerta trasera.
El malware  explota vulnerabilidadesel en Joomla (el sistema de gestión de contenidos) y WordPress (la muy hackeada plataforma CMS para blogging), como se explica con mayor profundidad en un blog por ESET.

Mumblehard también se distribuye a través de copias "piratas" de un programa de Linux y BSD conocido como DirectMailer, software desarrollado por anuncio publicitario Yellsoft y vendidos a través de la página web de la empresa rusa en $240. "Nuestra investigación mostró fuertes vínculos con una empresa de software llamada Yellsoft", explicó el investigador de malware de ESET Marc-Etienne M.Léveillé.

"Entre otros descubrimientos, encontramos que las direcciones IP no modificables en el malware están estrechamente vinculados a los de Yellsoft", explicó Léveillé.

The Register contacto a Yellsoft para hacer comentarios a través de Twitter (desde su dirección yellsoft.net no resuelve). No se ha recibido respuesta por parte de la compañia.

El artículo de ESET que trata a profundidad la investigación técnica, titulado Unboxing Linux / Mumblehard - Murmulladora de spam para tus servidores se puede encontrar aquí (pdf).

Los ataques de este tipo están lejos de ser aislados. Por ejemplo, el malware llamado Mayheim fue capturado difundiendose a través de servidores web Linux y FreeBSD en Rusia y en otros lugares el pasado julio. El crimeware se propaga por plug-ins no actualizados de las plataformas de blogs.

Vulnerabilidad crítica GHOST afecta a la mayoría de los sistemas Linux

Una vulnerabilidad crítica ha sido desenterrada de la biblioteca GNU C (glibc), un componente ampliamente utilizado por la mayoría de las distribuciones de Linux, el cual podría permitir a atacantes ejecutar código malicioso en los servidores de forma remota y tomar el control de las máquinas Linux.

La vulnerabilidad, apodada "GHOST" e identificada bajo el registro CVE-2015-0235, fue descubierta y descrita por los investigadores de seguridad de Redwood Shores, de la empresa de seguridad con sede en California Qualys este martes. GHOST se considera que es crítica debido a que hackers podrían explotarla para ganar el control completo de un sistema Linux sin tener ningún conocimiento previo sobre el sistema de credenciales, es decir, las contraseñas administrativas.

El fallo representa una enorme amenaza de Internet, en cierto modo similar a Heartbleed, Shellshock y Poodle; los cuales salieron a la luz el año pasado.

¿Por que GHOST? La vulnerabilidad en la biblioteca GNU C (glibc) es apodado GHOST, ya que puede ser desencadenada por la familia gethostbyname de la biblioteca de funciones. Glibc es un repositorio de software de código abierto escrito en el C y C ++ lenguajes de codificación que definen las llamadas al sistema. El problema se origina debido a un desbordamiento de búfer basado-en-heap que se encuentran en los __nss_hostname_digits_dots() función en glibc. Esta función es especialmente invocada por llamadas de las funciones _gethostbyname y gethostbyname2().

Según los investigadores, un atacante remoto tiene posibilidad de llamar a cualquiera de estas funciones, permitiendo explotar la vulnerabilidad en un esfuerzo para ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación.

Hasta el momento, la compañía no ha publicado el código de explotación para el público pero con el tiempo planean que el exploit este disponible como un módulo mas de Metasploit. La vulnerabilidad afecta a las versiones de glibc desde glibc-2.2, que fue lanzada en 2000.

"Por desgracia, no fue reconocida como una amenaza a la seguridad, y como resultado, las distribuciones más estables quedaron expuestas (y todavía lo son): Debian 7 (wheezy), Red Hat Enterprise Linux 6 y 7, CentOS 6 y 7, Ubuntu 12.04, por ejemplo" dijeron los investigadores de Qualys en un aviso publicado el martes.

Sin embargo, los principales distribuidores del sistema operativo Linux, incluyendo Red Hat, Debian y Ubuntu, actualizaron su software este martes para frustrar esta seria amenaza. Con el fin de actualizar los sistemas, y el reinicio del servidor afectado es requerido.

Fuente: THN

"XOR.DDoS": Nuevo troyano se encuentra infectando sistemas Linux mediante la instalación de Rootkit

Un nuevo troyano, XOR.DDoS, se encuentra comprometiendo sistemas Linux para formar una red de bots para ataques de denegación de servicio (DDoS), ha sido reportada por el grupo MalwareMustDie, dijo el blog de una firma de seguridad cibernética.

Avast, una compañía de software antivirus, ha explicado en su blog sobre la nueva amenaza que altera su instalación en función del entorno Linux de la víctima y luego instala un rootkit para evitar la detección.

La infección comienza con un ataque 'fuerza bruta' por SSH para obtener las credenciales del usuario root. Si tiene éxito, los atacantes instalan el troyano a través de un script de shell que incluye procedimientos como main, check, compiler, uncompress, setup, etc.

El troyano comprueba su compatibilidad con las cabeceras del kernel del sistema comprometido y si coincide, instala un rootkit.

"El rootkit oculta todos los archivos que son indicadores de vulneración, por lo que las víctimas no podrían ver esos indicadores. También oculta los procesos y otros indicadores de compromiso ", dijo Peter Kalnai, analista de malware en Avast para SCMagazine.com.

MalwareMustDie vio por primera vez el troyano en octubre de 2014. Los sistemas con los inicios de sesión por defecto, son los más vulnerables. Además, servidores web 32-bit y 64-bit Linux , equipos de escritorio, equipos con arquitectura ARM también son susceptibles.

A menudo los sistemas Windows tienen infecciones similares, pero los troyanos para sistemas Linux son menos escuchados.

"Es muy difícil establecer un componente rootkit dentro de un límite de Linux, ya que necesita estar de acuerdo con las versiones de los sistemas operativos de las víctimas", dijo Kalnai.

Aunque no se han reportado muchas infecciones hasta el momento, tanto las empresas como los individuos deben ser conscientes de la amenaza.

¿Que es un RootKit?

Un RootKit es un conjunto de herramientas para permitir un acceso de privilegio continuo a una computadora pero mantener su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones.

Fuente: Avast

WiFiPhisher - Un Nuevo Método para 'hackear' redes inalambricas aseguradas con WPA/WPA2

Un investigador de seguridad griego, llamado George Chatzisofroniou, ha desarrollado una herramienta de ingeniería social WiFi para robar las credenciales de los usuarios de redes Wi-Fi seguras.

La herramienta, llamada WiFiPhisher, fue liberada en el sitio web de desarrollo de software GitHub el domingo y está disponible gratuitamente para los usuarios.

Aunque hay varias herramientas de hacking disponibles en Internet que pueden hackear una red Wi-Fi segura, pero esta herramienta automatiza múltiples Wi-Fi técnicas de hacking que lo hacen un poco diferente de los demás.

Herramienta WiFiPhisher utiliza un ataque "Evil Twin". Igual Evil Twin, la herramienta crea primero un punto de acceso inalámbrico (AP) falso enmascarado como el Wi-Fi AP legítimo. Seguido de eso, lleva a cabo una denegación de servicio (DoS) contra el punto de acceso Wi-Fi legítimo, o crea interferencias de RF alrededor que desconecta a los usuarios inalámbricos de la conexión y solicita al usuario inspeccionar las redes disponibles.

Una vez desconectado del punto de acceso Wi-Fi legítimo, la herramienta obliga a los equipos y dispositivos fuera de línea para reconectarse automáticamente con el gemelo malvado, lo que permite al hacker interceptar todo el tráfico de ese dispositivo.

La técnica también es conocida como AP Phishing, Wi-Fi Phishing, Hotspotter o Honeypot AP. Este tipo de ataques hacen uso de los puntos de acceso falsos con páginas de inicio falsas para capturar las credenciales de los usuarios de Wi-Fi (vea imagen), números de tarjetas de crédito, lanzar de ataques man-in-the-middle, o infectar ordenadores inalámbricos.

Wifiphisher trabaja en Kali Linux y está disponible bajo la licencia MIT. Los usuarios pueden descargar e instalar la herramienta en su distribución Kali Linux de forma gratuita.

Fuente: GitHub