¿Te suena el nombre DNSChanger? Seguramente sí, porque ya en 2012 DNSChanger arrancaba en Interner provocando miles de infecciones hasta que, meses después, dejó sin Internet a algunos de estos cuando se produjo la desconexión de sus servidores. Pues bien, este troyano ha vuelto y, como hacía cuatro años después, está diseñado para infectar nuestros routers en primera instancia y después afectar a cualquier dispositivo conectado.
La función de este troyano, en primera instancia, se limita a modificar los servidores DNS de la conexión para apuntar a sus propios sitios web. Es decir, que cuando tratamos de acceder a un sitio web normal, con los servidores DNS modificados se redirige al usuarios a portales web de phishing. De esta forma pueden conseguir que, creyendo el usuario que está accediendo a ‘facebook.com’, realmente se le redirige a un portal que utiliza su misma interfaz para robar sus credenciales. Pero esta anterior no es la única de sus posibilidades, sino que también se dedica a inyectar publicidad en los dispositivos conectados.
Más de 160 modelos de router son vulnerables a DNSChanger
Según explican expertos en seguridad informática, 166 modelos de router son vulnerables al ataque que ejecuta DNSChanger. Y una de las vías que aprovecha el troyano, además de firmwares inseguros que permiten su infiltración, es el acceso con credenciales configuradas por defecto. El exploit está disponible en algunas páginas web que, de forma oculta, tienen el código malicioso en algunos formatos de imagen. Es a través de este tipo de portales web donde se descarga y ejecuta el kit de infección de DNSChanger y, a partir de aquí, se modifican los servidores DNS de la conexión.
Pero para llevar a cabo la infección, anteriormente se examina el equipo como potencial víctima para reconocer qué router utiliza y comprobar si es vulnerable o no. Si lo es, entonces es a partir de aquí cuando empieza el ataque. En caso de que tenga una vulnerabilidad reconocida sobre el modelo de router en cuestión, se aprovecha, y en caso contrario se intenta con las credenciales predeterminadas del modelo
- D-Link DSL-2740R
- NetGear WNDR3400v3 (y probablemente otros modelos de esta serie)
- Netgear R6200
- COMTREND ADSL Router CT-5367 C01_R12
- P.DGA4001N Pirelli ADSL2 / 2 + Router inalámbrico
Uno de los pasos clave para mantenerse a salvo de este tipo de infecciones es, evidentemente, cambiar la contraseña del acceso a la configuración del router como administrador. Si hacemos esto, la única posibilidad de que se cambien nuestros servidores DNS con un troyano como este es a través de una vulnerabilidad reconocida.
Source:https://www.adslzone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad