Durante una presentación en la Conferencia "Virus Bulletin" en Dallas, Fabio Assolini de Kaspersky Lab describió cómo criminales en Brasil lograron comprometer 4.5 millones de routers DSL durante meses sin ser detectados.

Para su ataque, los criminales primero usaron dos scripts en Bash y un ataque del tipo Cross-Site Request Forgery (CSRF) para cambiar la contraseña de administración y después manipular la entrada de servidor DNS del router. El ataque CSRF incluso les permitió eludir cualquier protección por contraseña existente. Una vez comprometidos (los routers), las PCs fueron redirigidas a dominios phishing especialmente diseñados que se enfocaron principalmente en las credenciales de banca en línea de los usuarios; los atacantes establecieron 40 servidores DNS para conducir esta redirección. El ataque estuvo limitado a una gran parte del rango de espacio de direcciones IP de Brasil.

El hueco de seguridad se conoce desde marzo de 2011. Los routers afectados de varios fabricantes, como el router ADSL CT-5367 de Comtrend, incluyen al menos un chipset Broadcom no especificado. Algunos fabricantes han proporcionado actualizaciones al firmware para cerrar los huecos, reduciendo el número de routers secuestrados a 300 mil. Sin embargo, otros fabricantes ya no dan mantenimiento a routers antiguos o responden con lentitud a huecos de seguridad; 10% del total de routers afectados originalmente continuaba bajo el control de los atacantes para marzo de 2012.

Assolini indica que, en estas circunstancias, hay muy poco que los usuarios puedan hacer para mejorar la seguridad de sus routers, más que ajustar sus configuraciones de seguridad y mantener actualizados el firmware y software relacionado, a menos que su proveedor ofrezca un mejor modelo de router.