GhostDNS: El nuevo botnet de DNS que ya ha secuestrado sobre 100 mil Routers

Investigadores de seguridad chinos han descubierto una campaña de malware que se está distribuyendo de amplia manera, y ya ha secuestrado sobre 100.000 routers para modificar sus configuraciones de DNS y así redirigir a los usuarios hacia páginas maliciosas (especialmente si intentan visitar sitios de bancos) y de esta forma así robar sus credenciales de acceso.
Denominado GhostDNS, esta campaña tiene muchas similitudes con el infame malware DNSChanger, el cual funciona modificando la configuración de los servidores DNS de un dispositivo infectado, permitiendo de esta manera que los atacantes ruteen el tráfico de internet de los usuarios hacia servidores maliciosos y así robar datos sensibles.
De acuerdo a un nuevo reporte de la empresa de seguridad Qihoo 360, GhostDNS analiza las IP de los routers que utilizan contraseñas débiles o no utilizan contraseña alguna (DNSChanger funciona de la misma manera), con tal de cambiar las direcciones DNS por defecto por alguna de las controladas por los atacantes.
Sistema GhostDNS: Se compone principalmente de 4 módulos:
1.- El modificador de DNS: Es el módulo principal de GhostDNS, el cual está diseñado para explotar routers definidos basados en la información recopilada.
Éste a la vez contiene 3 sub-módulos:
a) Shell DNS Changer: Escrito en Shell, este sub-módulo combina 25 scripts de Shell que pueden realizar ataques de fuerza bruta sobre las contraseñas en routers o paquetes de firmware de 21 fabricantes distintos.
b) Js DNSChanger: Principalmente escrito en JavaScript, este sub-módulo incluye 10 scripts de ataque diseñados para infectar 6 routers o paquetes de firmware distintos. Su estructura funcional es principalmente dividida en escaners, generadores de carga y programas de ataque. El programa Js DNSChanger usualmente es inyectado en sitios de Phishing, por lo que funciona bien junto con el sistema Phishing Web System.
c) PyPhp DNSChanger: Escrito en Python y PHP, este sub-módulo contiene 69 scripts de ataque distintos para 47 routers y firmware, éste ya ha sido encontrado sobre 100 servidores, muchos de ellos en la nube de Google, además incluye funcionalidades como una API Web, y módulos de escáner y ataque.
Éste sub-módulo es el principal de DNSChanger que permite que los atacantes busquen en internet por routers vulnerables.
2.- Módulo de administración Web: Aunque los investigadores aún no tienen mucha información acerca de este módulo, pareciera ser un panel de administración para los atacantes que contiene una pagina de login segura
3.- Módulo DNS malicioso: Es el responsable de resolver los nombres de dominio desde los servidores web controlados por los atacantes, lo que principalmente involucra a bancos y servicios de hosting en la nube; junto con un dominio que pertenece a la empresa de seguridad Avira.
4.- Módulo Phishing Web: Cuando un dominio apuntado es resuelto con éxito mediante el módulo DNS malicioso, el módulo de Phishing muestra la correcta versión falsa del sitio específico.
Investigadores de NetLab declararon: “No tenemos acceso al servidor DNS malicioso, así que no podemos decir con certeza cuantos nombres de DNS han sido secuestrados, pero al hacer consulta en los dominios de Alexa Top1M y DNSMon’s Top1M contra el servidor DNS malicioso (139.60.162.188), hemos sido capaces de detectar un total de 52 dominios secuestrados”

De acuerdo a los investigadores, entre el 21 y el 27 de septiembre, la campaña GhostDNS afectó a mas de 100.000 routers de los cuales el 87% se encuentran localizados en Brasil, por tanto se induce que ese país es el principal objetivo de los atacantes de GhostDNS.
Como proteger su router doméstico de los Hackers
Para poder protegerse a si mismo de ser una víctima de estos ataques, se recomienda que se asegure de que su router está ejecutando la ultima versión de su firmware, y además de que tiene contraseñas fuertes para el portal web de administración de su router.
También puede considerar el deshabilitar la administración remota, cambiar su dirección IP local por defecto, y configurar fijamente un servidor DNS de confianza (1.1.1.1) en el sistema operativo de su router.
Fuente: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html