Malware GhostDNS en routers puede robar datos bancarios de usuarios
Los expertos descubrieron que GhostDNS, un sofisticado sistema de secuestro de DNS para robo de datos, está afectando a más de 100 mil routers - el 87% de ellos en Brasil. De acuerdo con Netlab, empresa especializada en seguridad de la información, el malware fue encontrado en más de 70 modelos, incluyendo marcas como TP-Link, D-Link, Intelbras, Multilaser y Huawei, entre otras.
Usando el método de phishing, el ataque tiene como objetivo final descubrir credenciales de sitios importantes, como bancos y grandes proveedores. Por los registros de Netlab at 360, que descubrió el golpe, URLs brasileñas de Netflix, Santander y Citibank fueron algunas de las invadidas por el GhostDNS. A continuación, sepa todo sobre el malware y aprenda cómo protegerse.
En el caso de que se produzca un accidente, evitar
Malware GhostDNS infesta más de 100 mil routers y puede robar datos bancarios
¿Quieres comprar celular, TV y otros productos con descuento? Conozca Comparar
¿Qué es el ataque?
El malware reportado por Netlab at 360 realiza un ataque conocido como DNSchange. En general, este golpe intenta adivinar la contraseña del router en la página de configuración web usando identificadores definidos por defecto por los fabricantes, como admin / admin, root / root, etc. Otra manera es saltar la autenticación explorando dnscfg.cgi. Con el acceso a la configuración del router, el malware cambia la dirección DNS predeterminada, que traduce las URL de los sitios deseables, como los de los bancos, para las IP de los sitios Web malintencionados.
GhostDNS es una versión bastante mejorada de esta táctica. Cuenta con tres versiones de DNSChanger, llamadas en el propio código de Shell DNSChanger, Js DNSChanger y PyPhp DNSChanger. El PyPhp DNSChanger es el principal módulo entre los tres, habiendo sido implantado en más de 100 servidores, la mayoría Google Cloud. Juntos, reúnen más de 100 scripts de ataque, destinados a routers en las redes de Internet e intranet.
Como si no bastase, hay otros tres módulos estructurales en GhostDNS, además del DNSChanger. El primero es el servidor DNS Rouge, que secuestra los dominios de bancos, servicios en la nube y otros sitios con credenciales interesantes para los delincuentes. El segundo es el sistema de phishing en la web, que toma las direcciones IP de los dominios robados y hace la interacción con las víctimas a través de sitios falsos. Por último, hay el sistema de administración web, sobre el cual los expertos todavía tienen poca información del funcionamiento.
Flujograma del ataque promovido por GhostDNS a los routers
Riesgos del ataque
El gran riesgo del ataque es que, con el secuestro de DNS, incluso si escribe la dirección URL correcta de su banco en el navegador, puede redirigir a la IP de un sitio malintencionado. Así, incluso cuando un usuario identifica cambios en la interfaz de la página, es llevado a creer que está en un entorno seguro. Esto aumenta las posibilidades de escribir contraseñas de banco, correo electrónico, servicios de almacenamiento en la nube y otras credenciales que pueden ser utilizadas por los cibercriminales.
¿Qué routers se han visto afectados?
En el período del 21 al 27 de septiembre, el Netlab at 360 encontró poco más de 100 mil direcciones IP de routers infectados. De ellos, el 87, 8% -es decir, aproximadamente 87.800- están en Brasil. Sin embargo, debido a las variaciones de las direcciones, el número real puede ser un poco diferente.
Contador de routers infectados por GhostDNS
Los routers afectados han sido infectados por diferentes módulos DNSChanger. En el Shell DNSChanger, se identificaron los siguientes modelos:
- 3COM OCR-812
- AP-ROUTER
- D-LINK
- D-LINK DSL-2640T
- D-LINK DSL-2740R
- D-LINK DSL-500
- D-LINK DSL-500G / DSL-502G
- Huawei SmartAX MT880a
- Intelbras WRN240-1
- Kaiomy Router
- MikroTiK Routers
- OIWTECH OIW-2415CPE
- Ralink Routers
- SpeedStream
- SpeedTouch
- tienda
- TP-LINK TD-W8901G / TD-W8961ND / TD-8816
- TP-LINK TD-W8960N
- TP-LINK TL-WR740N
- TRIZ TZ5500E / VIKING
- VIKING / DSLINK 200 U / E
Los routers afectados por Js DNSChanger fueron:
- A-Link WL54AP3 / WL54AP2
- D-Link DIR-905L
- Router GWR-120
- Secutech RiS Firmware
- SmartGate
- TP-Link TL-WR841N / TL-WR841ND
Por último, los dispositivos alcanzados por el módulo principal, el PyPhp DNSChanger, son los siguientes:
- AirRouter AirOS
- Antena PQWS2401
- C3-TECH Router
- Cisco Router
- D-Link DIR-600
- D-Link DIR-610
- D-Link DIR-615
- D-Link DIR-905L
- D-Link ShareCenter
- Elsys CPE-2n
- Fiberhome
- Fiberhome AN5506-02-B
- Fiberlink 101
- GPON ONU
- Greatek
- GWR 120
- Huawei
- Intelbras WRN 150
- Intelbras WRN 240
- Intelbras WRN 300
- LinkOne
- MikroTik
- multilaser
- OIWTECH
- PFTP-WR300
- QBR-1041 WU
- Router PNRT150M
- Router inalámbrico N 300Mbps
- Router WRN150
- Router WRN342
- Sapido RB-1830
- TECHNIC LAN WAR-54GS
- Tenda Wireless-N Broadband Router
- Thomson
- TP-Link Archer C7
- TP-Link TL-WR1043ND
- TP-Link TL-WR720N
- TP-Link TL-WR740N
- TP-Link TL-WR749N
- TP-Link TL-WR840N
- TP-Link TL-WR841N
- TP-Link TL-WR845N
- TP-Link TL-WR849N
- TP-Link TL-WR941ND
- Wive-NG routers de firmware
- ZXHN H208N
- Zyxel VMG3312
Cómo protegerse
La primera medida a tomar es cambiar la contraseña del router, especialmente si utiliza el código predeterminado o adopta una contraseña débil. También se recomienda actualizar el firmware del router y comprobar las configuraciones si se ha cambiado el DNS.
Cómo configurar la contraseña de su router Wi-Fi
Lo que dicen los fabricantes
"Hemos entrado en contacto con Intelbras, que desconoce cualquier problema en sus routers:" informamos que no tenemos hasta el momento ningún caso registrado de perjuicio a nuestros usuarios a través de nuestros 14 canales de atención, correspondiente a la vulnerabilidad de routers Intelbras ". En cuanto a la seguridad, la empresa orienta que los consumidores mantengan la rutina de actualización de los equipos: "el control y la disponibilidad de firmwares actualizados están disponibles en nuestro sitio (www.intelbras.com.br/downloads)".
Multilaser también afirma que no hay informes de problemas hasta ahora. "No hubo contacto de ningún cliente a través de los canales de atención que pudieran ser conectados a lo ocurrido. Multilaser orienta a los consumidores a ponerse en contacto con el soporte para más información sobre actualizaciones y configuraciones de los aparatos de la marca".
D-Link informa que la vulnerabilidad ya ha sido reportada. Según el comunicado enviado al, la empresa ofreció la solución a los usuarios de sus routers. "D-Link reitera la importancia de la actualización constante del firmware de los routers por parte de los usuarios, medida que potencia la seguridad de los equipos y de la conexión", completa.
TP-Link afirma estar al corriente del problema y recomienda que los usuarios mantengan el firmware actualizado e intercambien la contraseña de sus dispositivos. TP-Link es consciente de las investigaciones referentes a la vulnerabilidad de sus routers, como forma de prevención contra este posible malware, TP-Link recomienda seguir los siguientes pasos:
- Cambie la contraseña predeterminada a una más compleja para impedir que los intrusos acceden a la configuración del router;
- Compruebe que su router está utilizando la versión más reciente del firmware. Si no lo está, haga la actualización para evitar que se explotan las vulnerabilidades más antiguas.
Huawei no se pronunció hasta el momento de la publicación de esta materia.
Vía Netlab at 360
¿Cuál es el mejor canal de router Wi-Fi? Descubre en el Foro del.
