Clicky

GhostDNS: el nuevo Botnet cambiador de DNS secuestró más de 100.000 routers

GhostDNS

El malware GhostDNS va dirigido principalmente a usuarios brasileños

Investigadores chinos de ciberseguridad han descubierto una campaña de malware extendida y en curso que ya ha secuestrado más de 100.000 routers domésticos y modificado su configuración de DNS para hackear usuarios con páginas web maliciosas, especialmente si visitan sitios bancarios, y robar sus credenciales de inicio de sesión.

Denominada GhostDNS, la campaña tiene muchas similitudes con el infame malware DNSChanger que funciona al cambiar la configuración del servidor DNS en el dispositivo infectado, lo que permite a los atacantes enrutar el tráfico de Internet de los usuarios a través de servidores maliciosos y robar datos confidenciales.

Según un nuevo informe del NetLab de la firma de seguridad cibernética Qihoo 360, al igual que la campaña regular de DNSChanger, GhostDNS escanea las direcciones IP de los routers que usan una contraseña débil o ninguna en absoluto, accede a la configuración de los routers y luego cambia la dirección DNS predeterminada del enrutador a la que controlan los atacantes.

Sistema GhostDNS: Lista de módulos y submódulos

GhostDNS funcionamiento

El sistema GhostDNS incluye principalmente cuatro módulos:

1) Módulo DNSChanger: este es el módulo principal de GhostDNS diseñado para explotar routers específicos en base a la información recopilada.

El módulo DNSChanger está compuesto por tres submódulos, que los investigadores denominaron, Shell DNSChanger, Js DNSChanger y PyPhp DNSChanger.

a.) Shell DNSChanger: escrito en el lenguaje de programación de Shell, este submódulo combina 25 scripts de Shell que pueden aplicar fuerza bruta a las contraseñas en routers o paquetes de firmware de 21 fabricantes diferentes.

b.) Js DNSChanger: Principalmente escrito en JavaScript, este submódulo incluye 10 scripts de ataque diseñados para infectar 6 routers o paquetes de firmware.

"Su estructura funcional se divide principalmente en escáneres, generadores de carga útil y programas de ataque. El programa Js DNSChanger generalmente se inyecta en sitios web de phishing, por lo que funciona en conjunto con el sistema Phishing Web", dicen los investigadores.

c) PyPhp DNSChanger: escrito en Python y PHP, este submódulo contiene 69 scripts de ataque contra 47 routers/firmware diferentes y se ha encontrado implementado en más de 100 servidores, la mayoría de ellos en Google Cloud, e incluye funcionalidades como API web, escáner y módulo de ataque.

Este submódulo es el módulo principal de DNSChanger que permite a los atacantes escanear Internet para encontrar routers vulnerables.

2) Módulo de administración web: aunque los investigadores aún no tienen demasiada información sobre este módulo, parece ser un panel de administración para atacantes con una página de inicio de sesión.

3) Módulo DNS fraudulento: este módulo es responsable de resolver los nombres de dominio específicos de los servidores web controlados por el atacante, que involucra principalmente servicios bancarios y de alojamiento en la nube, junto con un dominio que pertenece a una empresa de seguridad llamada Avira.

"No tenemos acceso al servidor DNS fraudulento, así que no podemos decir con certeza cuántos nombres DNS han sido secuestrados, pero al consultar tanto Alexa Top1M como los dominios Top1M de nuestro DNSMon contra el servidor DNS fraudulento (139.60.162.188), pudimos encontrar un total de 52 dominios secuestrados", dicen los investigadores de NetLab.

4) Módulo web de phishing: cuando un dominio de destino se resuelve con éxito a través del módulo de DNS fraudulento, el módulo web de phishing pretende enviar el servidor a la versión falsa correcta para ese sitio web específico.

El malware GhostDNS va dirigido principalmente a usuarios brasileños

Según los investigadores, entre el 21 y el 27 de septiembre, la campaña GhostDNS comprometió más de 100.000 routers, de los cuales el 87.8 por ciento de los dispositivos (que equivalen a 87.800) están ubicados solo en Brasil, lo que significa que Brasil es el objetivo principal de los atacantes GhostDNS.

"Actualmente la campaña se centra principalmente en Brasil, contamos 100k+ direcciones IP de routers infectados (87.8% ubicadas en Brasil), y han estado involucrados más de 70 routers/firmware, y más de 50 nombres de dominio como algunos grandes bancos en Brasil, incluso Netflix, Citibank.br han sido secuestrados para robar las credenciales de inicio de sesión del sitio web correspondiente", dicen los investigadores.

Dado que la campaña GhostDNS tiene una gran escala, utiliza diferentes vectores de ataque y adopta un proceso de ataque automatizado, representa una amenaza real para los usuarios. Por lo tanto, se aconseja a los usuarios protegerse.

Los siguientes son routers/firmwares afectados que se han identificado:

GhostDNS, routers afectados

Cómo proteger tu router doméstico de los hackers

Para evitar ser víctima de tales ataques, se recomienda asegurarse de que el router ejecute la última versión del firmware y establecer una contraseña segura para el portal web del enrutador.

También puede considerar deshabilitar la administración remota, cambiar tu dirección IP local predeterminada y codificar de forma rígida un servidor DNS confiable en tu router o sistema operativo.

Los investigadores de NetLab también recomendaron a los proveedores de routers aumentar la complejidad de la contraseña predeterminada del router y mejorar el mecanismo de actualización de seguridad del sistema para sus productos.

Jesus_Caceres