Thehackersnews

Un nuevo informe de la empresa Netlab, ha revelado un ataque GhostDNS, que ha puesto bajo amenaza más de 100.000 enrutadores, modificando sus DNS en Brasil.

La información suministrada por la empresa asiática, confirma que a un 87,8% de routers le han cambiado la configuración de DNS, con el fin de hackear a los usuarios haciendo que ingresen a páginas web maliciosas. El ataque fue perpetuado entre el 21 y el 27 de septiembre, según los investigadores.

Un DNS( Domain Name System), son los nombres que traducen las direcciones URL a las direcciones IP correspondientes a cada página. Y este es exactamente el punto focal de este ataque, pues, según el informe GhostDNS, se encarga de cambiar los DNS de los routers para enrutar el tráfico de los usuarios a páginas web falsas que son controladas por los piratas informáticos.

Este ataque esta compuesto por cuatro módulos: DNSChanger, Web Amin, Phishing Web y Rogue DNS

DNSChanger, este es el módulo principal y es el responsable de recopilar la información y llevar a cabo el ataque a través de tres submódulos en routers conectados a redes públicas o privadas.

Este es capaz de ejecutar más de 100 ataques a más de 70 routers. Este módulo cuenta con más de 100 scripts de Shell, que se ejecutan hasta dar con el que consiga cambiar esta configuración en los routers vulnerables (fuerza bruta).

Web Admin, contiene la página de login del Web Admin System.

Rogue DNS, contiene la información de las webs que el malware suplanta y que el usuario termina viendo en su navegador.

Vulnerabilidad de día cero elimina archivos temporales y secuestra .DLL en Windows 10

Y por último, Phishing Web, que trabaja como complemento de Rogue DNS y resuelve las páginas web falsas correspondientes al sitio que se quiere suplantar.

Esta campaña afecta a más de 70 modelos de routers diferentes a través de una botnet, con la cuál se aplica fuerza bruta para acceder a los routers, o bien utilizando el exploit dnscfg.cgi para saltar la página de login.

Aunque este ataque fue ejecutado en Brasil, desde Netlab afirman que el mismo representa un grave peligro en todo el mundo, ya que, es muy fácil de escalar y puede usarse de manera automatizada. Las principales webs falsas a la que redirigían los atacantes eran páginas de bancos del país, e incluso Netflix.

“Actualmente la campaña se centra principalmente en Brasil, hemos contado más de 100k direcciones de enrutadores infectados (87.8% en Brasil), y más de 70 enrutadores / firmware han estado involucrados, y más de 50 nombres de dominio como algunos grandes bancos en Brasil, incluso Netflix, Citibank.br han sido secuestrados para robar las credenciales de inicio de sesión del sitio web correspondiente”.

¿Cómo podemos protegernos de este ataque?

Existen varias opciones, pero como primera medida debemos tener nuestro router con la última versión del firmware instalada y cambiar la contraseña por defecto. Como segunda medida de prevención podremos revisar que las DNS que tenemos puestas en nuestro router no hayan sido cambiadas.

Hasta ahora estos son los Routers/Firmwares afectados en Brasil

 

Más en TekCrispy