Los enrutadores D-Website link y Linksys pirateados para señalar a los usuarios el malware con coronavirus


Secuestro de DNS de enrutador que apunta al sitio de malware con temática COVID

Imagen vía Bitdefender

Durante casi una semana, un grupo de piratas informáticos ha estado entrando en los enrutadores de las personas y cambiando la configuración de DNS para señalar a los usuarios de dispositivos desprevenidos a coronavirussitios relacionados con el uso de malware.

Los ataques se han dirigido actualmente a los enrutadores D-Hyperlink y Linksys, según informes de la empresa de ciberseguridad. Bitdefender y foro de soporte técnico y sitio de noticias Bleeping Personal computer.

Según Bitdefender, los piratas informáticos están utilizando ataques de fuerza bruta para adivinar la contraseña de administrador de los enrutadores específicos. Una vez que adivinan una contraseña y entran, los piratas informáticos cambian la configuración predeterminada del servidor DNS del enrutador, señalando el dispositivo a sus propios servidores.

Esto significa que cada consulta DNS realizada por los usuarios conectados a un enrutador secuestrado pasa a través de los servidores DNS de los piratas informáticos, dando a los atacantes un regulate complete sobre los sitios a los que accede un usuario.

Según los informes, cuando los usuarios intentan acceder a una lista de dominios particulares, los hackers han estado redirigiendo a los usuarios a un sitio personalizado para instar a los usuarios a instalar una aplicación de información de coronavirus (COVID-19).

Tanto Bitdefender como Bleeping Computer system dijeron que esta aplicación instala una versión de el troyano Oski. Oski es un troyano infostealer reciente vendido en foros net oscuros de habla rusa. La función principal del troyano es robar credenciales de cuenta de navegadores y archivos de criptomonedas para secuestrar cuentas de criptomonedas.

Según Bitdefender, los usuarios informaron haber sido redirigidos al sitio temático de coronavirus malicioso cuando intentaron acceder a uno de los siguientes dominios:

aws.amazon.com
goo.gl
little bit.ly
washington.edu
imageshack.us
ufl.edu
disney.com
cox.net
xhamster.com
pubads.g.doubleclick.internet
tidd.ly
redditblog.com
fiddler2.com
winimage.com

Los servidores DNS maliciosos utilizados por los piratas informáticos son 109.234.35.230 y 94.103.82.249. Si los lectores ZDNet usan un enrutador D-Hyperlink o Linksys, deben conectarse al panel de administración del dispositivo y verificar si estas dos direcciones IP aparecen en la sección de configuración de DNS.

Si lo hacen, los usuarios deben eliminar las direcciones IP del servidor DNS y cambiar la contraseña del panel de administración del enrutador.

Esta campaña comenzó el 18 de marzo y actualmente está en curso. Los propietarios de D-Website link y Linksys deben estar atentos a cualquier solicitud no solicitada para descargar e instalar aplicaciones relacionadas con el coronavirus, un reclamo de malware común en estos días, tanto para cibercriminales comunes como para grupos patrocinados por el estado.



Enlace a la noticia primary