Investigadores chinos de ciberseguridad han descubierto una
campaña de malware muy extendida y en curso que ya ha secuestrado más de
100.000 enrutadores domésticos y modificado su configuración de DNS para
hackear usuarios con páginas web maliciosas, especialmente si visitan sitios
bancarios y robar sus credenciales de inicio de sesión.
Apodada GhostDNS , la campaña tiene muchas similitudes con
el infame malware DNSChanger que funciona al cambiar la configuración del
servidor DNS en un dispositivo infectado, lo que permite a los atacantes
enrutar el tráfico de Internet de los usuarios a través de servidores
maliciosos y robar datos confidenciales.
De acuerdo con un nuevo informe del NetLab de la empresa de
seguridad cibernética Qihoo 360, al igual que la campaña regular de DNSChanger,
GhostDNS escanea las direcciones IP de los enrutadores que usan contraseña
débil o ninguna, accede a la configuración de los enrutadores y luego cambia la
dirección DNS predeterminada del enrutador a la controlada por los atacantes.
Según los investigadores, entre el 21 y el 27 de septiembre,
la campaña GhostDNS comprometió más de 100.000 enrutadores, de los cuales el
87.8 por ciento de los dispositivos (que equivalen a 87.800) están ubicados
solo en Brasil, lo que significa que Brasil es el objetivo principal de los
atacantes GhostDNS.
Dado que la campaña GhostDNS tiene una gran escala, utiliza
diferentes vectores de ataque y adopta un proceso de ataque automatizado,
representa una amenaza real para los usuarios. Por lo tanto, se aconseja a los
usuarios protegerse.
Para evitar ser víctima de tales ataques, se recomienda
asegurarse de que el enrutador ejecute la última versión del firmware y
establecer una contraseña segura para el portal web del enrutador.
También puede considerar deshabilitar la administración
remota, cambiar su dirección IP local predeterminada y codificar de forma
rígida un servidor DNS confiable en su enrutador o sistema operativo.
Los investigadores de NetLab también recomendaron a los
proveedores de enrutadores aumentar la complejidad de la contraseña
predeterminada del enrutador y mejorar el mecanismo de actualización de
seguridad del sistema para sus productos.