Archivos de etiquetas: banco

Ciberseguridad preventiva ante fraude bancario

La noche del 11 de diciembre de 2018, el programa periodístico chileno Informe Especial, emitió un reportaje acerca de la ciberseguridad bancaria en Chile. Dejando de lado las implicaciones legales tocadas en este programa, queremos nombrar los principales métodos de ataque a los cuales los clientes son expuestos, y algo en lo que nos gustaría profundizar: como evitar ser víctima.
Este tipo de estafas consiste en utilizar los medios tecnológicos e imagen de una institución financiera con tal de usurpar los datos personales y claves de acceso del cliente y de esta forma realizar movimientos bancarios como giros, transferencias, uso de tarjeta de crédito, etc. que beneficien al ciberdelincuente. Si años atrás era utilizado el método conocido como “el cuento del tío”, hoy este cuento aparece en forma de correos electrónicos, llamadas telefónicas, publicidad malintencionada en algunos sitios web, aplicaciones de celular intervenidas y otras.
La base de la protección para el usuario cliente de un banco es la desconfianza, no confiar en contactos inesperados, correos que nos solicitan algo, sitios bancarios inusuales y llamadas de ejecutivos con asuntos que atañan directamente a la cuenta y requieran demasiada información.
Llamadas telefónicas
Supongamos esta situación: Usted recibe una llamada telefónica de una persona que se identifica como “ejecutivo” de su banco; éste le indica que han detectado intentos de intrusión en su cuenta y que necesita que repase sus claves de acceso para garantizar que sólo usted tenga acceso a su cuenta. Luego de un largo discurso y verificación de datos, le solicita “el código de 3 dígitos de la parte anterior de su tarjeta de crédito”.
Listo, con este código mas toda la información recopilada previamente por estos delincuentes, tienen el uso absoluto de su tarjeta de crédito en medios digitales, ya que cuentan con toda la información para por ejemplo, realizar transacciones en linea con su dinero… el cual va a parar a manos de ellos.

Debemos siempre tener la claridad de que un agente bancario jamás le pedirá un dato confidencial como lo es éste código de 3 dígitos – código de seguridad- o una clave de acceso ya sea telefónica, de sitio o pin pass de tarjeta.
Correos electrónicos
Una de las formas mas frecuentes no sólo de estafa bancaria, pero además robo de contraseñas, instalación de malware, secuestro de archivos -ransomware- entre otras.

Usualmente una de las formas de ataque via correo electrónico es la llamada “phishing”, la cual consiste en un correo electrónico malicioso que simula ser de la entidad financiera a la cual suplanta. El contenido de este tipo de correos invita al usuario a hacer click en un vínculo que lo lleve al sitio del banco, cuando en realidad se trata de un sitio malicioso diseñado para engañar al cliente y obtener sus claves de acceso, también puede significar la descarga de malware espía con el mismo objetivo u otro con peores consecuencias.

WhatsApp, Facebook, Instagram, etc…
El mismo método de estafa es replicado mediante aplicaciones de mensajería instantánea y redes sociales, siempre debemos sospechar de un mensaje inesperado que contenga un link para visitar una página que no sabemos que es, sobretodo si proviene de un contacto desconocido.

Aplicaciones móviles
Estas estafas cibernéticas generalmente tienen una preparación planificada previamente y constan de varios pasos, en uno de estos métodos consiste en crear una aplicación móvil fraudulenta, que por citar un ejemplo: proporcione monedas infinitas en CandyCrush.

Este tipo de aplicaciones son publicadas frecuentemente en sitios de descarga de aplicaciones ya sean oficiales o alternativos, además muchas veces el objetivo de éstas es la infección del dispositivo del usuario con algún malware espía que puede capturar las claves de diversos servicios (no sólo bancarios). Un ejemplo es el troyano que afectó a PayPalhttps://www.helpnetsecurity.com/2018/12/12/android-trojan-paypal/
Consejos
Para resumir las medidas básicas de precaución que deben tener los usuarios para prevenir ser víctima de fraude cibernético:
Verificar que estamos accediendo efectivamente al sitio del banco del cual somos clientes, éste debe ser el que ingresa habitualmente y no contener nombres extraños.
Además verificar que aparezca el indicador de que se visita una página segura (aunque esto no garantiza la total seguridad de que sea la página que deseamos).
Jamás entregar datos personales de forma telefónica al recibir llamadas inesperadas de supuestos “ejecutivos bancarios”. Para su seguridad, contacte usted a su ejecutivo de cuenta inmediatamente si sospecha de algo.
No dar click a hipervínculos recibidos por cualquier medio y de forma inesperada, con nombre sospechoso, por ejemplo

https://fkadkfhaas.banco.xyz.com.estoesfalso

o similares.

Descargar sólo las aplicaciones móviles legítimas de las tiendas oficiales de aplicaciones por plataforma: GooglePlay y AppStore.
Ante la duda, ¡absténgase!
Estos consejos no sólo lo ayudarán a prevenir el fraude bancario, también es válido para evitar el robo de su información en diversas plataformas, como además la infección por malware.
La ciber-higiene debe ser un tema de concientización transversal entre los usuarios con los servicios que utilizan, existen muchas recomendaciones de seguridad relacionadas. De forma global y específica seguiremos entregando guías como esta.

[Actualizado 08/04/19]Aumento de SPAM relacionado al malware EMOTET

Actualización: 8 de abril de 2019:
Nuevamente nos encontramos frente a otra campaña basada en Emotet, ésta utiliza el correo electrónico para enviar archivos .ZIP con contraseña, la cual es posible encontrar en el mismo correo. Con esta técnica se evitan filtros de antimalware en gateways de correo hasta llegar al endpoint.
Una vez descomprimido, aparece un archivo de JavaScript, el cual al intentar ser ejecutado directamente libera el malware escondido. En esta oportunidad además se trata de un malware que roba credenciales del usuario, las cuales pueden ser de cualquier tipo de servicio (correo, banca, rrss, etc).
Como señuelo, esta variante arroja un mensaje de error (falso) al ejecutarse, éste indica “Formato de archivo no compatible. Hubo un error al abrir este documento. El archivo está dañado y no se pudo reparar…”. De cualquier forma el malware ya se encuentra instalado y ejecutándose.
Es recomendable alertar a los usuarios de esta amenaza para que estén conscientes de ésta en caso de recibir un correo con adjunto.ZIP y contraseña. Monitorear o bloquear la ejecución/descarga directa de archivos JS en las plataformas firewall, antispam y/o endpoint.
IoC:
Sitios web
http://pontoacessoweb[.]com.br/x6o5aq7/pW_t/
http://192.186.96[.]125/mult/health/nsip/merge/
http://afkar[.]today/cgi-sys/suspendedpage.cgi
http://192.186.96[.]125/iplk/dma/nsip/
http://www.liyuemachinery[.]com/config.replace/W_dK/
http://192.186.96[.]125/xian/merge/nsip/
http://192.186.96[.]125/json/sess/
Dominios
www.liyuemachinery[.]com
pontoacessoweb.com[.]br
entasystem[.]online
afkar[.]today
Hashes
3fef1791f40149036f14b13c38a559c7b9b44571
aa4ae06286b7932529389721446012ec1a68a3ed83c13ebe197d91e60b1a59f4
2c6be4fb920ab3ae5ded5be2936ec767
ffbe73591031973cb52f6950ed61b168a0f0bda69f004db08846dfc1bd1d1920
99d671ee30cb4a19558f5ae273698ec2
f55dc41ab2314e9252673aa5dcbaf6a54f96c2ce
a186a24cdd085c6b4f3bb2136f1c11a3ca7475fa08e91703723797ba8cf7778b
Actualización: 25 de marzo de 2019:
Durante los últimos 3 dias, el aumento de ataques mediante este malware ha incrementado de forma tal que el gobierno de Chile emitió una alerta desde su CSIRT, el cual indica:
“En base a informaciones recibidas de fuentes internas se ha establecido un estado situacional de alerta de ciberseguridad por incidente que se encuentra afectado a sectores relevantes de la economía.
Como producto de la coordinación intersectorial la información preliminar que se ha logrado recabar permite establecer que se debe bloquear, hasta que no se indique lo contrario mediante comunicado de igual o superior naturaleza, el siguiente sitio web y dirección IP:
Sitio web: triosalud[.]cl Dirección IP: 190[.]107[.]177[.]246
El bloqueo debe efectuarse tanto para flujos que provengan desde esos orígenes como flujos cuyo destino sean estos.
A nivel de RCE se están aplicando las protecciones respectivas y se ha elevado el nivel de alerta para estos patrones maliciosos.
Se notificará a los encargados de ciberseguridad en la medida que se detecte algún patrón que los involucre directamente para que se tomen las medidas del caso.
Otro comunicado, de no mediar una variación sustantiva de la situación, se emitirá para el restablecimiento del estado de normalidad en la RCE.”
Posteriormente se emitió un boletín nº2 el cual contiene una actualización de IP a bloquear, éste documento se encuentra en https://www.csirt.gob.cl/media/2019/03/comunicado-ciberseguridad-2.pdf
La vulnerabilidad de WinRAR presente desde hace 19 años.
Hace poco mas de un mes fue publicada una vulnerabilidad en el ampliamente utilizado gestor de archivos comprimidos WinRAR, vulnerabilidad que se indica que existe hace 19 años (!!!). Esta vulnerabilidad consiste en renombrar un archivo .ace (otro formato comprimido) a .rar de forma que al abrirlo con WinRAR éste se instale en el inicio del sistema. La técnica de incrustar malware en archivos .ace no es nueva, y se ha utilizado previamente debido a la rareza de uso de este formato, por lo que muchos sistemas de revisión de malware en correo electrónico no solían analizar este tipo de archivos.
El investigador de seguridad Germán Fernández Bacian, detectó al analizar algunos dominios .cl que tienen la vulnerabilidad Directory Listing, mediante OSINT, que uno de estos alojaba un archivo llamado “denuncias.rar”, el cual había sido subido en el mismo dia del análisis al servidor. Al analizar este archivo mediante Hybrid Analysis indica que explota la vulnerabilidad de WinRAR, instalando un troyano bancario identificado como Integrity.exe. Este troyano se comunica al servidor .cl originalmente indicado para actualizar la tabla de activos infectados.
Otro archivo posteriormente encontrado “__Denuncia_Activa-CL.pdf.bat”, contiene un malware el cual sería el KL-Banker, el cual apunta a bancos chilenos. En su panel de administración se encontraron activos de distintos bancos en Chile.
Esto daría paso al comunicado de ciberseguridad emitido por el CSIRT del gobierno de Chile este viernes 22 de marzo de 2019.
Paralelamente la SBIF emite un comunicado con alerta de seguridad por presencia de malware en sistemas empresariales.
Spear phishing
Hubo una campaña de spear phishing (phishing dirigido a objetivos con un perfil definido previamente), en el cual se apuntaba a robar credenciales utilizando la botnet de Emotet. El objetivo específico son cuentas de empresas proveedoras a empresas más grandes, con el objetivo final de llegar a instituciones financieras, principalmente bancos. Este método se conoce como supply chain attack (ataque a la cadena de suministro).
Para esconder esta operación los atacantes utilizaron los sitios de GoDaddy para evitar ser detectados en dominios potencialmente peligrosos.

Algunos bancos bajaron sus portales de segmento empresas como precaución para evitar transacciones fraudulentas e infecciones.
Una muestra de correo de phishing para esta amenaza:

Más troyanos
Otro troyano detectado en estas campañas es el conocido como Zonidel. El cual tiene funciones de spyware y control remoto, lo que permitiría el robo de credenciales, manipulación de archivos, cargar otros malware en el sistema, participar en DDoS, finalización de procesos, etc.
Un listado de activos infectados se puede hallar en https://pastebin.com/ERs3xkia
Una recomendación de seguridad inmediata es actualizar WinRAR a la ultima versión.
Indicadores de compromiso:
Dominios:
5.39.218.210185.29.8.45190[.]107[.]177[.]246190[.]107[.]177[.]91triosalud[.]cl
URL:
hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/hxxp://accesspress[.]rdsarkar[.]com/wp-content/8dk/hxxp://blog[.]atxin[.]cc/wp-admin/W8Ne/hxxp://acc[.]misiva[.]com[.]ec/wp-includes/CW0/hxxp://5.39.218[.]210/dns/dns.php?dns=<random>”hxxp://5.39.218[.]210/dns/logs/logpc.phphxxp://185.29.8[.]45/1.exehxxp://bornkickers[.]kounterdev[.]com/wp-content/uploads/w1lv/hxxp://blacharze[.]y0[.]pl/galeria/TRg/hxxp://ptpos[.]com[.]vn/wp-snapshots/qnJ/hxxp://shivamfilms[.]com/wp-admin/fL/hxxp://ragdoll[.]net[.]ua/wp-admin/kOQ/hxxp://obasalon[.]com/wp-includes/9g/hxxps://blog[.]voogy[.]com/wp-content/Zbnv/hxxp://www[.]bilgiegitimonline[.]com/wp-admin/mXWp/hxxps://www[.]yanjiaozhan[.]com/wp-includes/ug7/hxxp://barabooseniorhigh[.]com/En/JHS/hxxp://www[.]majoristanbul[.]com/cgi-bin/1OF/hxxp://bloodybits[.]com/edwinjefferson[.]com/jx7/hxxp://artmikhalchyk[.]com/wp-includes/mYW3/hxxp://franosbarbershop[.]com/wp-content/plugins/IUh1/hxxp://arexcargo[.]com/wp-includes/QBci/hxxp://altarfx[.]com/wordpress/wQYt/hxxp://uitcs[.]acm[.]org/wp-content/fqSlt/
Hash:
421448d92a6d871b218673025d4e4e121e263262f0cb5cd51e30853e2f8f04d7
Originalmente publicado el 29 de noviembre de 2018:
Un aumento de correos Spam, Phishing y Spoofing relacionados al malware Emotet, es esperado en los siguientes dias; debido a la naturaleza polimórfica de este virus, la detección es variable para todos los antivirus.
Técnicamente Emotet es un troyano bancario, aunque es mayormente usado como un “descargador” para una variedad de otras amenazas (TrickBot, Zeus Panda Banker, IcedID y otros), utiliza robo de credenciales, propagación por red, recolección de información sensible, redireccionamiento de puertos, entre otras características. Esto lo convierte en una amenaza considerable.
El US-CERT emitió en el mes de julio un aviso de seguridad acerca de Emotet, indicando que “se encuentra entre los malwares más destructivos y costosos”. En casos de infección dentro de Estados Unidos, el costo de remediación asciende hasta USD$1 millón por cada incidente.
Según ESET el modo de infección comienza con un Spam bien diseñado, el cual puede contener hipervínculos maliciosos como adjuntos de Microsoft Word o PDF que aparentan ser facturas, mensajes de seguridad del banco o avisos de “actualización de Word”.
Siguiendo las instrucciones en el documento, la víctima habilita los macros en Word o hace clic en el enlace dentro del PDF. Paso seguido, el payload de Emotet es instalado y ejecutado, establece persistencia en la computadora, y reporta que el compromiso se realizó de manera exitosa a su servidor C&C. Inmediatamente después, recibe instrucciones acerca de qué módulos de ataque y payloads secundarios descargar.
Agregaron que las nuevas variantes de Emotet se generan en promedio cada dos horas, de esta forma las firmas de este malware van cambiando constantemente, dificultando así la protección completa para las posibles víctimas.
“Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, técnica de persistencia y autopropagación similar a la de los gusanos. Es distribuido a través de campañas de spam utilizando una variedad de disfraces para hacer pasar por legítimos sus adjuntos maliciosos. El troyano es frecuentemente utilizado como un downloader o como un dropper para payloads secundarios potencialmente más dañinos.” indica ESET.
Se estima que esta nueva campaña tiene su auge el 5 de noviembre de 2018, luego de un periodo de baja actividad. Siendo sus principales víctimas entidades bancarias en Norte y Sudamérica.
Descripción de la Amenaza
Técnica:PDF, PowerShell, Office VBA Macro
Malware:Emotet
Actor:TA542
Familia:Downloader, Botnet, Stealer, Spambot
Sophos:CXmail/OleDl-AU,CXmail/OleDl-J,Troj/DocDl-QJO, Troj/DocDl-QLX
Asuntos:
Procedimiento de pago para sus servicios de John Lange – IN TimeCambion de su tarifa de Seguel, RodrigoWells Fargo statementProcedimiento de pago para su trabajo de Ehrlich | KolorprintValuation Invoice from 11/07/18
Adjuntos:
untitled-3st974835.docv1/9-27/4719.doccontrato.docnuevo-contrato.docnuevo-acuerdo.docacuerdo.docfa_num_xnx90393.docInvoice_No_96608.doc
Análisis de la infección
La infección inicial se distribuye a través de correo electrónico no deseado, con la siguiente secuencia de eventos: Un correo electrónico no deseado que contiene un enlace de descarga o un archivo adjunto que llega a la bandeja de entrada de la víctima.
El enlace de descarga apunta a un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica e inicia una secuencia de comandos Powershell. El script de Powershell intenta descargar y ejecutar Emotet desde múltiples fuentes de URL. Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble que incluiye un gran diccionario de contraseñas débiles y de uso común.
El diccionario de contraseñas se utiliza para obtener acceso a los sistemas en red. Una vez que obtiene acceso, se copia a sí mismo en acciones ocultas de C$ o Admin$. La copia recibe a menudo el nombre de archivo my.exe, pero se han usado otros nombres de archivo.
Emotet contiene una lista incrustada de cadenas entre las que elige dos palabras para fusionarlas en el nombre de archivo que utilizará en el momento de la infección inicial. Las cadenas elegidas se agrupan utilizando el ID de volumen del disco duro. Como resultado, el mismo disco duro siempre dará como resultado el mismo nombre de archivo para cada sistema infectado. También descarga un componente de actualización automática capaz de descargar la última copia de sí mismo y de otros módulos. Este componente se guarda como %windows%<filename>.exe, donde el nombre del archivo se compone de 8 dígitos hexadecimales.
Algunos de los otros módulos que este componente descarga se utilizan para recopilar credenciales de otras aplicaciones conocidas o para recopilar direcciones de correo electrónico de los archivos PST de Outlook para su uso con correo no deseado dirigido. Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. Luego instala y ejecuta el .exe actualizado como un servicio de Windows.
Fases de la infección

Ejemplo de SPAM

Análisis de causa raíz por Sophos

Análisis de la muestra
MALICIOSO
Nombre: Contrato.doc
Nombre Amenaza: Troj/DocDl-QKJ
Tamaño: 80KiB
Score Amenaza: 100/100
Tipo: DOC
AV Detección: 55%
Mime: application/msword
Tipo Virus: Troyano
SHA256: 98888c43345a90cfb2336a916e091eccf59d9cab4ff647585c9e170e9e5481df
Fuente:Información extraída de https://www.hybrid-analysis.com
Resultado de Análisis con diferentes antivirus
Se comprobó la amenaza en la página https://www.virustotal.com, dicha página permite el análisis de amenazas por medio de la verificación con 57 marcas diferentes de antivirus, de las cuales 35 marcas detectaron como positivo la detección de malware dando un 61% de coincidencia de peligrosidad y fue catalogado como troyano.

Link del análisis:
Top 10 Antivirus

Banco Consorcio afectado por un evento de ciberseguridad

Fuentes: https://www.biobiochile.cl/noticias/economia/negocios-y-empresas/2018/11/08/banco-consorcio-es-victima-de-hackeo-informatico.shtml
https://nakedsecurity.sophos.com/tag/emotet/
Nuevamente la ciberseguridad bancaria en Chile se ve afectada. En esta oportunidad los ciberdelincuentes pudieron exfiltrar información confidencial y sensible de Banco Consorcio.
Según el mismo Banco, el daño está valorizado en un monto inferior a los US$2 millones y ya está en proceso de ser recuperado, puesto que además existen seguros comprometidos.
El modo de penetración utilizado (según Biobiochile) fue mediante un correo malicioso que incluía el malware Emotet. Este correo simulaba ser un aviso de actualización de Word, por lo que bastaría con que un sólo colaborador cayera en esta estafa para que este malware se distribuyera por la entidad.
El Banco indicó que no habría perjuicio para sus clientes debido a este incidente y se encuentra permanentemente monitoreando la situación con la ayuda de expertos internacionales en el tema.

Si fuera el caso de este malware, la información es que Emotet es un troyano aunque también contiene la funcionalidad necesaria para ser clasificado como un gusano. La principal diferencia es que un troyano requiere cierto grado de ingeniería social para engañar a un ser humano para que permita la propagación de la infección, mientras que un gusano puede extenderse a otros sistemas sin la ayuda de un usuario. Emotet descarga entonces ejecuta otras cargas útiles, así que aunque su componente central no sea directamente un gusano, tiene el potencial de descargar y ejecutar otro componente para extenderse a otros sistemas.
Cómo funciona
La infección inicial se distribuye a través de spam de correo electrónico. Los investigadores de Sophos en Agosto de este año, recopilaron la siguiente secuencia de eventos:
Un correo electrónico no deseado que contiene un enlace de descarga llega a la bandeja de entrada de la víctima. El enlace de descarga señala un documento de Microsoft Word. El documento descargado contiene código VBA que decodifica y inicia un script Powershell. El script Powershell luego intenta descargar y ejecutar Emotet desde múltiples fuentes de URL.
Los componentes de Emotet están contenidos en un archivo WinRAR autoextraíble con un gran diccionario de contraseñas débiles y comúnmente usadas.
También descarga un componente de auto-actualización capaz de descargar la última copia de sí mismo y otros módulos. Este componente se guarda como% windows% <filename> .exe, donde el nombre de archivo está compuesto de 8 dígitos hexadecimales.
Algunos de los otros módulos de este componente descargas se utilizan para recolectar credenciales de otras aplicaciones conocidas o para recolectar direcciones de correo electrónico de Outlook archivos PST para su uso con spam dirigido.
Cuando el componente actualizador actualiza el componente principal de Emotet, reemplaza el archivo principal utilizando el mismo nombre de archivo compuesto por las mismas cadenas elegidas anteriormente. A continuación, instala y ejecuta el exe actualizado como un servicio de Windows.
Sin embargo, Sophos está protegiendo a los clientes de la amenaza y ha creado un artículo de Knowledge Base con un desglose completo de las variantes detectadas.
Esta noticia se encuentra en desarrollo, por lo que estamos constantemente verificando los detalles de esta con las fuentes de información

GhostDNS: El nuevo botnet de DNS que ya ha secuestrado sobre 100 mil Routers

Investigadores de seguridad chinos han descubierto una campaña de malware que se está distribuyendo de amplia manera, y ya ha secuestrado sobre 100.000 routers para modificar sus configuraciones de DNS y así redirigir a los usuarios hacia páginas maliciosas (especialmente si intentan visitar sitios de bancos) y de esta forma así robar sus credenciales de acceso.
Denominado GhostDNS, esta campaña tiene muchas similitudes con el infame malware DNSChanger, el cual funciona modificando la configuración de los servidores DNS de un dispositivo infectado, permitiendo de esta manera que los atacantes ruteen el tráfico de internet de los usuarios hacia servidores maliciosos y así robar datos sensibles.
De acuerdo a un nuevo reporte de la empresa de seguridad Qihoo 360, GhostDNS analiza las IP de los routers que utilizan contraseñas débiles o no utilizan contraseña alguna (DNSChanger funciona de la misma manera), con tal de cambiar las direcciones DNS por defecto por alguna de las controladas por los atacantes.
Sistema GhostDNS: Se compone principalmente de 4 módulos:
1.- El modificador de DNS: Es el módulo principal de GhostDNS, el cual está diseñado para explotar routers definidos basados en la información recopilada.
Éste a la vez contiene 3 sub-módulos:
a) Shell DNS Changer: Escrito en Shell, este sub-módulo combina 25 scripts de Shell que pueden realizar ataques de fuerza bruta sobre las contraseñas en routers o paquetes de firmware de 21 fabricantes distintos.
b) Js DNSChanger: Principalmente escrito en JavaScript, este sub-módulo incluye 10 scripts de ataque diseñados para infectar 6 routers o paquetes de firmware distintos. Su estructura funcional es principalmente dividida en escaners, generadores de carga y programas de ataque. El programa Js DNSChanger usualmente es inyectado en sitios de Phishing, por lo que funciona bien junto con el sistema Phishing Web System.
c) PyPhp DNSChanger: Escrito en Python y PHP, este sub-módulo contiene 69 scripts de ataque distintos para 47 routers y firmware, éste ya ha sido encontrado sobre 100 servidores, muchos de ellos en la nube de Google, además incluye funcionalidades como una API Web, y módulos de escáner y ataque.
Éste sub-módulo es el principal de DNSChanger que permite que los atacantes busquen en internet por routers vulnerables.
2.- Módulo de administración Web: Aunque los investigadores aún no tienen mucha información acerca de este módulo, pareciera ser un panel de administración para los atacantes que contiene una pagina de login segura
3.- Módulo DNS malicioso: Es el responsable de resolver los nombres de dominio desde los servidores web controlados por los atacantes, lo que principalmente involucra a bancos y servicios de hosting en la nube; junto con un dominio que pertenece a la empresa de seguridad Avira.
4.- Módulo Phishing Web: Cuando un dominio apuntado es resuelto con éxito mediante el módulo DNS malicioso, el módulo de Phishing muestra la correcta versión falsa del sitio específico.
Investigadores de NetLab declararon: “No tenemos acceso al servidor DNS malicioso, así que no podemos decir con certeza cuantos nombres de DNS han sido secuestrados, pero al hacer consulta en los dominios de Alexa Top1M y DNSMon’s Top1M contra el servidor DNS malicioso (139.60.162.188), hemos sido capaces de detectar un total de 52 dominios secuestrados”

De acuerdo a los investigadores, entre el 21 y el 27 de septiembre, la campaña GhostDNS afectó a mas de 100.000 routers de los cuales el 87% se encuentran localizados en Brasil, por tanto se induce que ese país es el principal objetivo de los atacantes de GhostDNS.
Como proteger su router doméstico de los Hackers
Para poder protegerse a si mismo de ser una víctima de estos ataques, se recomienda que se asegure de que su router está ejecutando la ultima versión de su firmware, y además de que tiene contraseñas fuertes para el portal web de administración de su router.
También puede considerar el deshabilitar la administración remota, cambiar su dirección IP local por defecto, y configurar fijamente un servidor DNS de confianza (1.1.1.1) en el sistema operativo de su router.
Fuente: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html