DNSChanger - Malware que se dirige a sus enrutadores a través del navegador web

El malware que ataca a las computadoras es bastante común, pero el malware que ataca a los enrutadores es algo completamente diferente. Investigadores de la firma de seguridad Proofpoint descubrieron que su forma de operar es similar al malware Stegano recientemente descubierto .

El malware se llama DNSChanger y se propaga a través de anuncios atados a malware que son atendidos por grandes redes publicitarias. DNSChanger primero verificará la dirección IP del visitante para ver si está dentro del rango . Si la dirección no se encuentra dentro del rango objetivo, DNSChanger configurará anuncios señuelo que estén limpios .

Por otro lado, si la dirección se encuentra dentro de un rango, el malware publicará un anuncio falso que ocultará el código de explotación en los metadatos de una imagen PNG.

Una vez que el código malicioso logra introducirse furtivamente en la PC del objetivo, hace que el objetivo se conecte a una página que aloja DNSChanger . El sitio web llevará a cabo otra exploración para garantizar que la dirección IP del objetivo se encuentre dentro del rango objetivo, y cuando se confirme, el sitio mostrará una segunda imagen que contiene el código de explotación .

Lo que ocurra a continuación depende del modelo de enrutador que DNSChanger esté atacando. Si el modelo de enrutador tiene exploits conocidos, DNSChanger utilizará estos exploits para modificar las entradas de DNS en el enrutador. Cuando sea posible, haga que los puertos de administración estén disponibles desde direcciones externas .

Si el enrutador no tiene vulnerabilidades conocidas, DNSChanger intentará usar credenciales predeterminadas para obtener acceso al enrutador. Si el enrutador no tiene exploits conocidos ni contraseñas conocidas, el malware luego abandonaría el ataque .

Suponiendo que logre acceder al enrutador, DNSChanger puede obligar a las computadoras conectadas a conectarse a sitios impostores que son visualmente idénticos a los reales.

Proofpoint ha descubierto que el malware parece estar falsificando direcciones IP para desviar el tráfico de las agencias publicitarias a favor de redes publicitarias conocidas como Fogzy y TrafficBroker.

Por el momento, Proofpoint ha mencionado que es imposible nombrar todos los enrutadores que son susceptibles a DNSChanger . Sin embargo, Proofpoint informó los cinco modelos de enrutadores que pueden verse comprometidos por este malware en particular.

Para protegerse de DNSChanger, Proofpoint ha recomendado que sus enrutadores se actualicen a la última versión de firmware disponible y que estén protegidos con una contraseña larga generada aleatoriamente . Además, deshabilitar la administración remota y cambiar la dirección IP local predeterminada del enrutador es una medida preventiva efectiva.