La botnet GhostDNS infecta a más de 100.000 routers

  • Vulnerabilidades

El módulo principal de GhostDNS es DNSChanger, un malware que entra en el router y cambia la dirección DNS predeterminada. La botnet ha logrado hackear más de 70 tipos de routers diferentes, y más de 50 nombres de dominio han sido secuestrados.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Los investigadores de Netlab, que han descubierto GhostDNS, una botnet basada en el conocido malware DNSChanger que ha conseguido afectar a más de 70 tipos de routers diferentes e infectar más de 100.000 routers.

El módulo principal de GhostDNS es DNSChanger, que cuenta con más de 100 scripts cuya finalidad es la explotación de los routers vulnerables para ejecutarse y cambiar su configuración. Esta campaña intenta averiguar la contraseña en la página de autenticación web del router u omitir la autenticación a través del exploit dnscfg.cgi, luego cambia la dirección DNS predeterminada del router al servidor DNS falso a través de la interfaz de configuración DNS correspondiente.

Los investigadores han encontrado asimismo tres programas relacionados con DNSChanger, a los que han llamado Shell DNSChanger, Js DNSChanger y PyPhp DNSChanger según sus lenguajes de programación.

Además, los sistemas DNSChanger son solo parte de un sistema más grande que ejecuta la campaña de malware. La campaña también incluye: Phishing Web System, Web Admin System y Rogue DNS System. Estas cuatro partes trabajan juntas para realizar la función de secuestro de DNS.
Actualmente, la campaña se centra principalmente en Brasil. Ya se han contabilizado más de 100.000 direcciones IP de routers infectados (el 87,8% ubicados en Brasil), y más de 70 routers han estado involucrados. Más de 50 nombres de dominio, como algunos grandes bancos en Brasil, incluso Netflix, Citibank.br, han sido secuestrados para robar las credenciales de inicio de sesión correspondientes del sitio web.

Para proteger nuestro router es importante cambiar la contraseña que viene por defecto por una segura, descargar e instalar la última versión de firmware desde la página oficial del fabricante y por último revisar la configuración DNS.