GhostDNS: El nuevo malware en la ciudad

Más de 100.000 dispositivos fueron comprometidos en Sudamérica después de una campaña de secuestro. El ataque se dirigió contra los enrutadores domésticos y redirigió directamente a los usuarios brasileños de banca electrónica a las páginas web de phishing. El malware GhostDNS utilizado en este ataque ha sido nombrado como GhostDNS que viene con una historia limitada. Los principales objetivos fueron instituciones financieras como el Banco do Brasil y Citibank junto con Netflix y el software antivirus Avira.

Según el equipo de investigación de la empresa de seguridad Netlab, las actividades del malware GhostDNS se vieron por primera vez el 20 de septiembre de este año, cuando un grupo de nuevos escáneres secuestraron enrutadores con contraseña vulnerable o cuyo proceso de autenticación podía ser fácilmente esquivado. El código malicioso llevó a los clientes a páginas de aterrizaje simuladas falsas de los principales bancos de Sudamérica, medios de comunicación, empresas de telecomunicaciones e ISP.

Fuente: PCMag

 

Una visión del malware de GhostDNS

El malware es una amalgama de complicados scripts de ataque, capaces de secuestrar la configuración del router e intercambiarlos con un servicio DNS sustituto. A partir de aquí, los códigos llevan el tráfico a páginas de destino clonadas pero maliciosas que contienen todos los servicios en línea principales y recopilan los detalles de inicio de sesión junto con algunas credenciales vitales de los usuarios.

Sistema cambiador DNSChanger

El sistema GhostDNS se compone de cuatro componentes: Módulo DNSChanger, módulo Web de phishing, módulo Web Admin y módulo Rogue DNS. Entre ellos, el módulo DNSChanger es responsable de la recolección y manipulación de datos. El servicio de redireccionamiento de DNS se llama Rouge y actualmente se está ejecutando en varios servicios de cloud hosting de renombre como Google, Amazon, OVH, Telefónica y Oracle.

El módulo DNSChanger es la parte principal de GhostDNS. El hacker explota tres submódulos del DNSChanger para lanzar un ataque contra los routers tanto en la intranet como en las redes de Internet. Este módulo se puede dividir en tres formatos diferentes: Python & JavaScript, Shell Code y lenguajes de programación PHP.

Entre los tres idiomas, el más común es la versión PyPhp (Python/PHP) que se ha instalado en más de 100 servidores, incluyendo a Google Cloud. Consiste en una API Web que regula el programa, junto con un escáner y un módulo de ataque que abarca 69 scripts de ataque para 47 firmware y dispositivos.

También Lea: Black Rose Lucy – A New Malware as a Service (MaaS)

¿Cómo Funciona?

Ahora, pasando al procedimiento de ataque GhostDNS, que se lanza en cuatro niveles. En primer lugar, el sistema de administración web de este malware mira a través de Internet para las cuentas y dispositivos vulnerables. A continuación, este paso es seguido por la creación de una página de destino falsa a través de DNSChanger y, mientras tanto, RougeDNS redirige a los usuarios a sitios web de phishing.

Fuente: Netlab

 

Según los expertos de Netlab, los hackers utilizan exploits de acceso remoto para entregar la carga útil y tiene la capacidad de lanzar más de 100 scripts de ataque a al menos 80 routers al mismo tiempo. La intensidad del ataque GhostDNS depende del número de routers vulnerables que se pueden obtener. Aquí, los enrutadores vulnerables son referidos a DNS de enrutadores que pueden ser fácilmente hackeados.

Una vez que el hacker tiene todas las credenciales de su router, crea una trampa para los usuarios. La próxima vez, cuando el usuario visita el banco en línea, llega a una página falsa pero copiada del banco y termina perdiendo toda la información y el dinero en efectivo. Pero, ¿cómo podemos evitar esta situación?

Prevenir es mejor que curar

Este malware tiene la capacidad de desactivar completamente el sistema en línea, gracias a sus diversos vectores de ataque y la adopción automática del proceso de ataque. Por lo tanto, se recomienda actualizar su conectividad de banda ancha y asegurar su sistema de enrutador estableciendo contraseñas complicadas. No guarde su contraseña en línea y no establezca contraseñas similares para cada cuenta.

Por ahora, Netlab ha tomado el caso en sus manos y está continuamente proporcionando información sobre este malware. La firma de investigación está analizando el progreso junto con sus procedimientos internos y está en contacto con varios proveedores de servicios para el cierre completo de la red. Hasta entonces, es aconsejable cambiar continuamente su contraseña, comprobar si el servidor DNS predeterminado de su router ha sido cambiado y actualizar el mecanismo de seguridad de su sistema.

Debe leerse : 3 Pasos avanzados para eliminar malware persistente de su PC

Desde detalles bancarios hasta información personalizada, ahora todo se almacena en línea. La pérdida de datos puede costarle toda la vida y, por desgracia, nadie puede impedir que los hackers exploten sus datos. En tal escenario, todo lo que debe hacer es adoptar algunas medidas de precaución en su estilo de vida para evitar fraudes y hackeos. Háganos saber su opinión sobre este malware GhostDNS en la sección de comentarios de abajo.

//

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *