Los piratas informáticos secuestran enrutadores domésticos para dirigir a las personas a la aplicación maliciosa de coronavirus


Los atacantes están cambiando la configuración de DNS en los enrutadores Linksys para redirigir a los usuarios a un sitio website malicioso que promete una aplicación informativa COVID-19, dice el proveedor de seguridad BitDefender.

Los ciberdelincuentes han estado explotando COVID-19 para sus propios fines maliciosos. Coronavirustemático
suplantación de identidad
Se están desplegando correos electrónicos para atrapar a las personas curiosas o ansiosas por el virus. Se están creando mapas falsos de coronavirus con malware como carga útil. Y a medida que más personas trabajan desde casa, un nuevo tipo de ataque apunta a los enrutadores domésticos para difundir una aplicación maliciosa de coronavirus, según una publicación de website publicada el miércoles por BitDefender.

En su weblog «Los nuevos ataques de secuestro de DNS del enrutador abusan de Bitbucket para alojar Infostealer, «BitDefender describe cómo funciona esta última amenaza y cómo las personas que trabajan desde casa pueden protegerse contra ella.

VER: Coronavirus: políticas y herramientas críticas de TI que toda empresa necesita (TechRepublic Quality)

Después de obtener acceso administrativo a un enrutador doméstico, los piratas informáticos cambian la configuración de DNS que se traduce entre direcciones IP y nombres de dominio. En este caso, la nueva configuración de DNS lo redirige a un sitio web que dice ser de la Organización Mundial de la Salud, una agencia que últimamente ha sido víctima de muchas parodias y ataques.

dns-hijack-bitdefender.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/03/26/16c0b895-f19a-4eaf-bdf7-7b21431d5696/resize/770x/ebcbb781c5f0a93c7e9c39d12e2 -hijack-bitdefender.jpg

BitDefender

El sitio muestra un botón Descargar para una aplicación con información prometedora e instrucciones sobre el coronavirus. En cambio, la descarga del archivo lo infecta con Oski Infostealer, una pieza desagradable de malware que tiene como objetivo robar contraseñas del navegador, datos de criptomonedas y credenciales de inicio de sesión del Registro de Home windows y las bases de datos SQL.

La táctica es especialmente engañosa. Con la configuración falsa de DNS, los usuarios desprevenidos creen que están navegando a un sitio world-wide-web legítimo y correcto y no a un sitio creado y controlado por los atacantes. Además, los delincuentes almacenan la carga maliciosa a través de Bitbucket, un servicio de alojamiento de repositorios basado en la internet. Ocultan esa carga útil al abusar del servicio de acortador de URL TinyURL para que no pueda detectarlo fácilmente.

En este punto, los ataques se dirigen principalmente a los enrutadores Linksys, muy probablemente al forzar de forma bruta las credenciales necesarias para administrar el enrutador de forma remota. Sin embargo, algunos sitios de noticias tecnológicas dicen que Los enrutadores D-Connection también están siendo atacados. Las direcciones IP para los servidores DNS se cambian a 109.234.35.230 y 94.103.82.249. Los dominios afectados incluyen lo siguiente:

  • «aws.amazon.com»
  • «goo.gl»
  • «bit.ly»
  • «washington.edu»
  • «imageshack.us»
  • «ufl.edu»
  • «disney.com»
  • «cox.internet»
  • «xhamster.com»
  • «pubads.g.doubleclick.net»
  • «tidd.ly»
  • «redditblog.com»
  • «fiddler2.com»
  • «winimage.com»

Navegar a uno de estos dominios lo redirige a una dirección IP de 176.113.81.159, 193.178.169.148 o 95.216.164.181. En ese momento, aparece un mensaje que le solicita que descargue la aplicación COVID-19 Notify. Al hacerlo, se entrega la carga maliciosa.

VER: Gestión de trabajadores remotos: una guía para líderes empresariales (PDF gratuito) (TechRepublic)

Según su análisis de los repositorios de BitBucket, BitDefender calculó el número de víctimas potenciales en alrededor de 1.193 en los últimos días. Sin embargo, la empresa encontró cuatro depósitos de este tipo, lo que sugiere que el número de personas atrapadas en esta trampa podría ser mayor. Hasta ahora, las personas en los Estados Unidos, Alemania y Francia representan casi el 75% del complete. También es possible que aumente el número de víctimas, especialmente si los piratas informáticos crean aún más repositorios.

Para protegerse usted y su enrutador doméstico de este tipo de compromiso, BitDefender ofrece los siguientes consejos, especialmente para aquellos con enrutadores Linksys:

  • Cambia tus credenciales. Más allá de cambiar las credenciales de inicio de sesión para el panel de manage de su enrutador (que con suerte no son las predeterminadas), debe cambiar sus credenciales de cuenta en la nube de Linksys y las de cualquier cuenta de administración remota para su enrutador. El objetivo es evitar cualquier toma de cuenta a través de la fuerza bruta o ataques de relleno de credenciales.
  • Actualiza tu firmware. Asegúrese de que el firmware de su enrutador esté siempre actualizado, ya que eso evita que los atacantes exploten vulnerabilidades sin parches para hacerse cargo del dispositivo.
  • Use software package de seguridad. Asegúrese de que todos sus dispositivos tengan instalada una solución de seguridad que le impida acceder a sitios internet fraudulentos o de phishing y descargar e instalar malware.

Ver también

Enrutador inalámbrico de doble banda moderno "src =" https://tr2.cbsistatic.com/hub/i/r/2020/03/26/c7fad53e-21fd-482a-bd91-63942f9ef0d5/resize/770x/36cd4311dbd89395d284ed2dcc549380/istock-1141320671dcc549380/istock-1141320671 .jpg

Imagen: simpson33, Getty Visuals / iStockphoto



Enlace a la noticia first