cómo funciona

DNSChanger: malware que se dirige a sus enrutadores a través del navegador web

El malware que ataca a las computadoras es bastante común, pero el malware que ataca a los enrutadores es algo completamente diferente. Los investigadores de la firma de seguridad Proofpoint han descubierto que la forma en que opera es similar al malware Stegano descubierto recientemente .

El malware se llama DNSChanger y se propaga a través de anuncios con malware que son servidos por grandes redes publicitarias. DNSChanger primero verificará la dirección IP del visitante para ver si está dentro del rango . Si la dirección no se encuentra dentro del rango objetivo , DNSChanger configurará anuncios señuelo que estén limpios .

Por otro lado, si la dirección se encuentra dentro de un rango, el malware publicaría un anuncio falso que oculta el código de explotación en los metadatos de una imagen PNG.

cómo funciona

Una vez que el código malicioso logra colarse en la PC del objetivo, hace que el objetivo se conecte a una página que aloja DNSChanger . El sitio web realizará otro escaneo para asegurarse de que la dirección IP del objetivo esté dentro del rango objetivo y, cuando se confirme, el sitio mostrará una segunda imagen que contiene el código de explotación .

Lo que sucede a continuación depende del modelo de enrutador que DNSChanger está atacando. Si el modelo de enrutador tiene exploits conocidos, DNSChanger utilizará estos exploits para modificar las entradas de DNS en el enrutador. Cuando sea posible, haga que los puertos de administración estén disponibles desde direcciones externas .

Si el enrutador no tiene exploits conocidos , DNSChanger intentaría usar las credenciales predeterminadas para obtener acceso al enrutador. Si el enrutador no tiene exploits conocidos ni contraseñas conocidas , el malware abandonaría el ataque .

Suponiendo que logre acceder al enrutador, DNSChanger puede obligar a las computadoras conectadas a conectarse a sitios impostores que son visualmente idénticos a los reales.

Proofpoint ha descubierto que el malware parece estar falsificando direcciones IP para desviar el tráfico de las agencias de publicidad a favor de las redes publicitarias conocidas como Fogzy y TrafficBroker.

brumoso y traficante

Por el momento, Proofpoint ha mencionado que es imposible nombrar todos los enrutadores que son susceptibles a DNSChanger . Sin embargo, Proofpoint informó a los cinco modelos de enrutadores que pueden verse comprometidos por este malware en particular.

enrutadores vulnerables

Con el fin de protegerse de DNSChanger, Proofpoint ha recomendado que los routers son actualizados con el último firmware disponible y está protegido con una larga , la contraseña generada de forma aleatoria . Además, deshabilitar la administración remota y cambiar la dirección IP local predeterminada del enrutador es una medida preventiva eficaz.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *