Com­pro­m­e­ten routers para redi­ri­gir a los usuar­ios a una pági­na que ofrece una fal­sa app de infor­ma­ción sobre el COVID-19 que en real­i­dad descar­ga un troy­ano.

Luego de inves­ti­gar los reportes real­iza­dos por var­ios usuar­ios que man­i­festa­ban que su nave­g­ador web abría por su propia cuen­ta un sitio que, en nom­bre de la Orga­ni­zación Mundi­al de la Salud, ofrecía para su descar­ga una app para man­ten­erse infor­ma­do sobre el COVID-19, des­cubrieron que ciber­crim­i­nales esta­ban lle­van­do ade­lante ataques de DNS hijack­ing para dis­tribuir mal­ware, explicó Bleep­ing­com­put­er en un artícu­lo pub­li­ca­do este lunes.

Un ataque de DNS hijack­ing, tam­bién cono­ci­do como secue­stro de DNS, es aquel en el que un ata­cante con­sigue mod­i­ficar los servi­dores de DNS para redi­ri­gir a los usuar­ios a sitios del interés del ata­cante. De esta man­era, cuan­do un usuario escribe en el nave­g­ador el nom­bre de un dominio, como puede ser: ejemplo.com, el DNS mali­cioso le devolverá para esa búsque­da un sitio mali­cioso.

Estos ataques detec­ta­dos recien­te­mente mod­i­f­i­can los servi­dores de DNS de routers D‑Link y Linksys. Aunque los usuar­ios que repor­taron el inci­dente dijeron que tienen acti­va la opción de admin­is­tración remo­ta del dis­pos­i­ti­vo (algo no recomend­able des­de el pun­to de vista de la seguri­dad) y con una con­traseña débil, “por el momen­to se desconoce cómo es que los ciber­crim­i­nales lograron com­pro­m­e­ter los routers para alter­ar la con­fig­u­ración de los DNS”, explicó el medio.

Para com­pro­bar que el equipo está conec­ta­do a Inter­net, Microsoft uti­liza una fun­ción lla­ma­da “Net­work Con­nec­tiv­i­ty Sta­tus Indi­ca­tor (NCSI)”. En el caso de Win­dows 10, una de estas prue­bas será conec­tarse al sitio http://www.msftconnecttest.com/connecttest.txt y ver­i­ficar que la URL mues­tra el men­saje “Microsoft Con­nect Test”, lo cual indi­cará que el equipo está efec­ti­va­mente conec­ta­do a Inter­net.

Sin embar­go, en el caso de los usuar­ios que se han vis­to com­pro­meti­dos por este ataque de secue­stro de DNS, en lugar de conec­tarse a la IP legí­ti­ma de Microsoft para lle­var ade­lante este pro­ce­so, los servi­dores mali­ciosos redi­rec­cionban a las víc­ti­mas a un sitio web con otra IP (con­tro­la­do por los ata­cantes) que, en lugar de mostrar un men­saje indi­can­do el esta­do de su conex­ión, mostra­ban un men­saje, en nom­bre de la Orga­ni­zación Mundi­al de la Salud, invi­tan­do a la víc­ti­ma a descar­gar una app para estar infor­ma­do sobre el COVID-19 y recibir instruc­ciones.

Sitio al cual redi­rec­cio­nan los servi­dores mali­ciosos. Fuente: Bleep­ing­com­put­er.

Según expli­ca el artícu­lo, en caso de descar­gar la apli­cación lo que la víc­ti­ma habrá descar­ga­do en su equipo será el troy­ano Oski, el cual una vez eje­cu­ta­do robrará las cre­den­ciales de acce­so alma­ce­nadas, datos financieros alma­ce­na­dos en el nave­g­ador, bil­leteras de crip­tomonedas, el his­to­r­i­al del nave­g­ador y las cook­ies, archivos de tex­to, la infor­ma­ción que el nave­g­ador alma­ce­na para auto­com­ple­tar for­mu­la­rio, entre otra infor­ma­ción.

Una vez recolec­ta­da esta infor­ma­ción, la mis­ma será subi­da a un servi­dor para que luego pue­da ser recolec­ta­da por los ciber­crim­i­nales, quienes luego podrán uti­lizar esta infor­ma­ción para robar dinero de la cuen­ta ban­car­ia de la víc­ti­ma o realzar ataques de phish­ing dirigi­dos, entre otras cosas más. 

Cómo saber si soy víctima de DNS hijack

En un artícu­lo pub­li­ca­do por la inves­ti­gado­ra de ESET, Cecil­ia Pas­tori­no, tit­u­la­do cómo detec­tar si tu router fue afec­ta­do por DNS Hijack­ing, la espe­cial­ista expli­ca cómo un usuario puede ver­i­ficar si es víc­ti­ma de este tipo de ataque. Aquí recomien­da hac­er una con­sul­ta públi­ca para ver­i­ficar qué servi­dores son los que están respon­di­en­do. Para ello es posi­ble uti­lizar sitios de ver­i­fi­cación de DNS, como DNS Leak Test o What´s my DNS Serv­er. Igual­mente, “para que el ata­cante logre cam­biar los DNS debe explotar otra fal­la de seguri­dad exis­tente, por lo que es impor­tante revis­ar que el router este bien con­fig­u­ra­do y de for­ma segu­ra”, expli­ca Pas­tori­no.

Por otra parte, es impor­tante ase­gu­rar la red. Para ello es clave ten­er un router con­fig­u­ra­do de man­era segu­ra y actu­al­iza­do. De esto depen­derá si el usuario tiene el con­trol del router o si el mis­mo está bajo el man­do del provee­dor de Inter­net (ISP).

Para más detalles de cómo con­fig­u­rar tu router de man­era segu­ra recomen­damos la lec­tura de los sigu­ientes artícu­los: 5 for­mas de com­pro­bar si tu router está con­fig­u­ra­do de man­era segu­ra y guía sobre cómo con­fig­u­rar tu router para opti­mizar la seguri­dad de tu red Wi‑Fi.