Inicio / Para Expertos / GhostDNS: el nuevo botnet de cambiador de DNS secuestró más de 100.000 enrutadores

GhostDNS: el nuevo botnet de cambiador de DNS secuestró más de 100.000 enrutadores

Investigadores chinos de ciberseguridad han descubierto una campaña de malware extendida y en curso que ya ha secuestrado más de 100.000 enrutadores domésticos y modificado su configuración de DNS para hackear usuarios con páginas web maliciosas, especialmente si visitan sitios bancarios, y robar sus credenciales de inicio de sesión.

Apodada GhostDNS , la campaña tiene muchas similitudes con el infame malware DNSChanger que funciona al cambiar la configuración del servidor DNS en un dispositivo infectado, lo que permite a los atacantes enrutar el tráfico de Internet de los usuarios a través de servidores maliciosos y robar datos confidenciales.

Según un nuevo informe del NetLab de la firma de seguridad cibernética Qihoo 360, al igual que la campaña regular DNSChanger, GhostDNS escanea las direcciones IP para los enrutadores que usan contraseña débil o ninguna, accede a la configuración de los enrutadores y luego cambia la dirección DNS predeterminada del enrutador controlado por los atacantes.

Sistema GhostDNS: Lista de módulos y submódulos

ghostdns botnet malware

El sistema GhostDNS incluye principalmente cuatro módulos:

1) Módulo DNSChanger: este es el módulo principal de GhostDNS diseñado para explotar los enrutadores específicos en función de la información recopilada.

El módulo DNSChanger está compuesto por tres submódulos, que los investigadores denominaron, Shell DNSChanger, Js DNSChanger y PyPhp DNSChanger.

a.) Shell DNSChanger: escrito en el lenguaje de programación de Shell, este submódulo combina 25 scripts de Shell que pueden aplicar fuerza bruta a las contraseñas en enrutadores o paquetes de firmware de 21 fabricantes diferentes.
b.) Js DNSChanger: escrito principalmente en JavaScript, este submódulo incluye 10 scripts de ataque diseñados para infectar 6 enrutadores o paquetes de firmware.

“Su estructura funcional se divide principalmente en escáneres, generadores de carga útil y programas de ataque. El programa Js DNSChanger generalmente se inyecta en sitios web de phishing, por lo que funciona en conjunto con el sistema Phishing Web”, dicen los investigadores.

c) PyPhp DNSChanger: escrito en Python y PHP, este submódulo contiene 69 scripts de ataque contra 47 enrutadores / firmware diferentes y se ha encontrado implementado en más de 100 servidores, la mayoría de los cuales en Google Cloud e incluye funcionalidades como API web, escáner. y módulo de ataque.
Este submódulo es el módulo principal de DNSChanger que permite a los atacantes escanear Internet para encontrar enrutadores vulnerables.

2) Módulo de administración web: aunque los investigadores aún no tienen demasiada información sobre este módulo, parece ser un panel de administración para atacantes con una página de inicio de sesión.

3) Módulo Rogue DNS: este módulo es responsable de resolver los nombres de dominio específicos de los servidores web controlados por atacante, que principalmente involucran servicios de hospedaje bancario y en la nube, junto con un dominio que pertenece a una compañía de seguridad llamada Avira.

“No tenemos acceso al servidor DNS de Rouge, así que no podemos decir con certeza cuántos nombres DNS han sido secuestrados, pero al consultar tanto Alexa Top1M como los dominios Top1M de nuestro DNSMon contra el servidor DNS fraudulento (139.60.162.188), pudimos encontrar un total de 52 dominios secuestrados “, dicen los investigadores de NetLab.

4) Módulo web de phishing: cuando un dominio de destino se resuelve con éxito a través del módulo de DNS deshonesto, el módulo web de phishing pretende enviar el servidor a la versión falsa correcta para ese sitio web específico.

GhostDNS Malware dirigido principalmente a usuarios brasileños

enrutamiento de firmware enrutador

Según los investigadores, entre el 21 y el 27 de septiembre, la campaña GhostDNS comprometió más de 100.000 enrutadores, de los cuales el 87.8 por ciento de los dispositivos (que equivalen a 87.800) están ubicados solo en Brasil, lo que significa que Brasil es el objetivo principal de los atacantes GhostDNS.

“Actualmente la campaña se centra principalmente en Brasil, hemos contado más de 100k direcciones de enrutadores infectados (87.8% en Brasil), y más de 70 enrutadores / firmware han estado involucrados, y más de 50 nombres de dominio como algunos grandes bancos en Brasil, incluso Netflix, Citibank.br han sido secuestrados para robar las credenciales de inicio de sesión del sitio web correspondiente “, dicen los investigadores.

Dado que la campaña GhostDNS tiene una gran escala, utiliza diferentes vectores de ataque y adopta un proceso de ataque automatizado, representa una amenaza real para los usuarios. Por lo tanto, se aconseja a los usuarios protegerse.

Cómo proteger su enrutador doméstico de los hackers

Para evitar ser víctima de tales ataques, se recomienda asegurarse de que el enrutador ejecute la última versión del firmware y establecer una contraseña segura para el portal web del enrutador.

También puede considerar deshabilitar la administración remota, cambiar su dirección IP local predeterminada y codificar de forma rígida un servidor DNS confiable en su enrutador o sistema operativo.

Los investigadores de NetLab también recomendaron a los proveedores de enrutadores aumentar la complejidad de la contraseña predeterminada del enrutador y mejorar el mecanismo de actualización de seguridad del sistema para sus productos.

Fuente: thehackernews

Vea También

El nuevo malware de GreyEnergy apunta a ICS, vinculado con BlackEnergy y TeleBots

Un nuevo actor avanzado de amenazas se encuentra ahora en el mapa público de adversarios …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.