Durante esta crisis internacional del coronavirus se han realizado varios ataques a sistemas informáticos de una gravedad con pocos precedentes. Muchos de esos ataques van dirigidos directamente a los hospitales, para aumentar más el caos, y otros a los que estamos encerrados en casa con la esperanza de aplanar la curva de infecciones.
Ahora han publicado que durante varios días se han estado hackeando los enrutadores de las personas y cambiando la configuración de DNS para enviar a los usuarios a sitios relacionados con el coronavirus que envían malware.
Los ataques se han dirigido a los routers de las marcas D-Link y Linksys, según informes de la firma de seguridad cibernética Bitdefender. Están usando ataques de fuerza bruta para adivinar la contraseña de administrador de los enrutadores específicos, y una vez dentro se cambia la configuración DNS para que sea fácil acceder a sitios falsos.
Esto significa que cada consulta DNS realizada por los usuarios conectados a un enrutador secuestrado pasa a través de los servidores DNS de los piratas informáticos, dando a los atacantes un control total sobre los sitios a los que accede un usuario.
Según los informes, cuando los usuarios intentan acceder a una lista de dominios particulares, los hackers han estado redirigiendo a los usuarios a un sitio personalizado para instar a los usuarios a instalar una aplicación de información de coronavirus (COVID-19).
Tanto Bitdefender como Bleeping Computer dijeron que esta aplicación instala una versión del troyano Oski. La función principal del troyano es robar credenciales de cuenta de navegadores y archivos de criptomonedas para secuestrar cuentas de criptomonedas.
Según Bitdefender, los usuarios informaron haber sido redirigidos al sitio temático de coronavirus malicioso cuando intentaron acceder a uno de los siguientes dominios:
aws.amazon.com
goo.gl
bit.ly
washington.edu
imageshack.us
ufl.edu
disney.com
cox.net
xhamster.com
pubads.g.doubleclick.net
tidd.ly
redditblog.com
fiddler2.com
winimage.com
Los servidores DNS maliciosos son 109.234.35.230 y 94.103.82.249, por lo que si accedéis a la configuración del router y veis estas IPs, cambiadlas inmediatamente por las de Google, por ejemplo, 8.8.8.8 y 8.8.4.4.
El ataque comenzó el pasado 18 de marzo, y utiliza un servicio de acortamiento de URLs (TinyURL) para enmascarar el link de carga y el repositorio de código Bitbucket para alojar las cargas maliciosas.
Podéis obtener más información en este enlace.
☛ El artículo completo original de Juan Diego Polo lo puedes ver aquí.
No hay comentarios.:
Publicar un comentario