Ghost DNS secuestra mas de 100.000 Routers

Investigadores de Seguridad han descubierto como se ha esparcido una campaña de malware que actualmente tiene secuestrado a mas de 100.000 routers de hogar modificando su configuración DNS, cosa de que los usuarios que estén detrás del router accedan a sitios web completamente falsos y con eso se les robe la información. Por lo general este tipo de malware tiene la intención de poder hacerse de las credenciales de acceso de los usuarios.

Apodado como GhostDNS la campaña se asimila mucho a lo que hacia DNSChanger, el cual cambia los DNS de los equipos infectados haciendo que el tráfico de los usuarios también se redirigiera hacia sitios web falsos que eran controlados por los atacantes.

Según el nuevo reporte de Qihoo360,el malware tiene el objetivo de poder realizar el escaneo de IP en internet en la búsqueda de estos equipos, e intenta ingresar a los que estén mal configurados, como por ejemplo equipos que vengan con las credenciales por defecto, o credenciales débiles, logrando ingresar y cambiar los DNS de los equipos.


El malware posee algunos módulos que son bastante interesantes:

DNSChanger System

El modulo principal DNS Changer intenta atacar redes tanto de Internet como de Intranet. El módulo posee mas de 100 ataques por script afectando a mas de 70 modelos de routers.


1) Módulo DNSChanger: este es el módulo principal de GhostDNS diseñado para explotar enrutadores específicos en base a la información recopilada.
El módulo DNSChanger está compuesto por tres submódulos, que los investigadores denominaron, Shell DNSChanger, Js DNSChanger y PyPhp DNSChanger.

a.) Shell DNSChanger: escrito en el lenguaje de programación de Shell, este submódulo combina 25 scripts de Shell que pueden aplicar fuerza bruta a las contraseñas en routers o paquetes de firmware de 21 fabricantes diferentes.

b.) Js DNSChanger: escrito principalmente en JavaScript, este submódulo incluye 10 scripts de ataque diseñados para infectar 6 routers o paquetes de firmware.
"Su estructura funcional se divide principalmente en escáneres, generadores de carga útil y programas de ataque. El programa Js DNSChanger generalmente se inyecta en sitios web de phishing, por lo que funciona en conjunto con el sistema Phishing Web", dicen los investigadores.
c) PyPhp DNSChanger: escrito en Python y PHP, este submódulo contiene 69 scripts de ataque contra 47 routers / firmware diferentes y se ha encontrado implementado en más de 100 servidores, la mayoría de los cuales en Google Cloud e incluye funcionalidades como API web, escáner. y módulo de ataque.

Este submódulo es el módulo principal de DNSChanger que permite a los atacantes escanear Internet para encontrar enrutadores vulnerables.

2) Módulo de administración web: aunque los investigadores aún no tienen demasiada información sobre este módulo, parece ser un panel de administración para los atacantes protegidos con una página de inicio de sesión.

3) Módulo de Rogue DNS: este módulo es responsable de resolver los nombres de dominio objetivo de los servidores web controlados por el atacante, que involucran principalmente servicios bancarios y de alojamiento en la nube, junto con un dominio que pertenece a una empresa de seguridad llamada Avira.

"No tenemos acceso al servidor de Rouge DNS, por lo que no podemos decir con seguridad cuántos nombres de DNS se han pirateado, pero al consultar los dominios Top1M de Alexa y Top1M de DNSMon contra el servidor DNS falso (139.60.162.188), fueron capaces de encontrar un total de 52 dominios que fueron secuestrados ", dicen los investigadores de NetLab.

{"domain": "avira.com.br", "rdata": ["0.0.0.0"]}
{"domain": "banco.bradesco", "rdata": ["198.27.121.241"]}
{"domain": "bancobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bancodobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bradesco.com.br", "rdata": ["193.70.95.89"]}
{"domain": "bradesconetempresa.b.br", "rdata": ["193.70.95.89"]}
{"domain": "bradescopj.com.br", "rdata": ["193.70.95.89"]}
{"domain": "br.wordpress.com", "rdata": ["193.70.95.89"]}
{"domain": "caixa.gov.br", "rdata": ["193.70.95.89"]}
{"domain": "citibank.com.br", "rdata": ["193.70.95.89"]}
{"domain": "clickconta.com.br", "rdata": ["193.70.95.89"]}
{"domain": "contasuper.com.br", "rdata": ["193.70.95.89"]}
{"domain": "credicard.com.br", "rdata": ["198.27.121.241"]}
{"domain": "hostgator.com.br", "rdata": ["193.70.95.89"]}
{"domain": "itau.com.br", "rdata": ["193.70.95.89"]}
{"domain": "itaupersonnalite.com.br", "rdata": ["193.70.95.89"]}
{"domain": "kinghost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "locaweb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "netflix.com.br", "rdata": ["35.237.127.167"]}
{"domain": "netflix.com", "rdata": ["35.237.127.167"]}
{"domain": "painelhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "santander.com.br", "rdata": ["193.70.95.89"]}
{"domain": "santandernet.com.br", "rdata": ["193.70.95.89"]}
{"domain": "sicredi.com.br", "rdata": ["193.70.95.89"]}
{"domain": "superdigital.com.br", "rdata": ["193.70.95.89"]}
{"domain": "umbler.com", "rdata": ["193.70.95.89"]}
{"domain": "uolhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.banco.bradesco", "rdata": ["198.27.121.241"]}
{"domain": "www.bancobrasil.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradesco.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradesconetempresa.b.br", "rdata": ["193.70.95.89"]}
{"domain": "www.bradescopj.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.br.wordpress.com", "rdata": ["193.70.95.89"]}
{"domain": "www.caixa.gov.br", "rdata": ["193.70.95.89"]}
{"domain": "www.citibank.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.credicard.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.hostgator.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.itau.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.kinghost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.locaweb.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.netflix.com", "rdata": ["193.70.95.89"]}
{"domain": "www.netflix.net", "rdata": ["193.70.95.89"]}
{"domain": "www.painelhost.uol.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.santander.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.santandernet.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.sicredi.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.superdigital.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.umbler.com", "rdata": ["193.70.95.89"]}
{"domain": "www.uolhost.com.br", "rdata": ["193.70.95.89"]}
{"domain": "www.uolhost.uol.com.br", "rdata": ["193.70.95.89"]}

4) Módulo web de phishing: cuando un dominio específico se resuelve con éxito a través del módulo DNS falso, el módulo web de phishing apunta a servir la versión falsa correcta para ese sitio web específico.

El listado de routers afectado son:


Solo queda indicar que lo ideal es que siempre tengan sus routers actualizados, utilicen credenciales que sean robustas y que siempre deshabiliten la administración remota de estos equipos.