Un nuevo ataque de malware se dirige a los routers domésticos aprovechando una página web vinculada a COVID-19. Más de 1000 usuarios afectados en dos días, los malware con temática de Coronavirus se han quintuplicado en el mes de marzo: consejos para defenderse.
Los investigadores de Bitdefender han descubierto recientemente un nuevo ataque que se dirige a los routers domésticos y modifica su configuración DNS. Los hackers atacan con ataques de fuerza bruta las credenciales de administración remota de los routers Linksys para cambiar la configuración DNS y redirigen a los usuarios a una página web vinculada a COVID-19 que distribuye malware(Oski inforstealer). Para ocultar el enlace del repositorio de Bitbucket que aloja el malware, se utiliza el servicio TinyURL.
El ataque es nuevo, comenzó el 18 de marzo y abusa de un servicio de acortamiento de URL para enmascarar el enlace del payload, además de Bitbucket (un repositorio de código legítimo) para alojar los payloads maliciosos.
“Lamentablemente, COVID-19 es un tema recurrente que los ciberdelincuentes están aprovechando para atrapar a las víctimas” declaró Liviu Arsene, Senior Cybersecurity Researcher de Bitdefender. “Los informes de malware con temática de coronavirus se han quintuplicado en marzo, y los atacantes sin escrúpulos utilizan estafas de phishing explotando información errónea sobre el coronavirus y el miedo a la escasez de suministros médicos.”
Cómo funciona el ataque del malware Coronavirus
No es raro que los hackers utilicen noticias de gran interés para la población, como la actual pandemia, para llamar la atención de los usuarios y enviar correos electrónicos de phishing con archivos adjuntos infectados; esta reciente tipología de ataque que involucra routers domésticos confirma esta tendencia.
Los atacantes han escaneado Internet en busca de routers vulnerables, logrando violarlos -potencialmente a través de ataques de fuerza bruta de contraseñas- y modificando su configuración IP DNS. La configuración DNS es muy importante, ya que funciona como una agenda telefónica. Cada vez que los usuarios escriben el nombre de un sitio web, los servicios DNS pueden enviarlos a la dirección IP correspondiente que sirve a ese dominio en particular. En pocas palabras, el DNS funciona más o menos como la agenda de un smartphone: cada vez que quieres llamar a alguien, basta con buscar su nombre en lugar de tener que memorizar su número de teléfono.
Una vez que los hackers cambian las direcciones IP DNS, pueden redirigir a los usuarios a páginas web controladas directamente por ellos, sin que nadie se dé cuenta.
A continuación, se presenta una lista de algunos de los dominios que se redirigen:
- “aws.amazon.com”
- «goo.gl»
- «bit.ly»
- «washington.edu»
- «imageshack.us»
- «ufl.edu»
- «disney.com»
Cuando se intenta acceder a uno de los dominios anteriores, los usuarios son redirigidos a una dirección IP que muestra un mensaje aparentemente de la Organización Mundial de la Salud, solicitando a los usuarios que descarguen e instalen una aplicación que ofrece instrucciones e información sobre COVID-19.
En detalle, los payloads maliciosos se entregan a través de Bitbucket, el popular servicio de alojamiento web para proyectos que utilizan sistemas de control de versiones. Para asegurarse de que la víctima no sospeche que se trata de un delito, los hackers también abusan de TinyURL, el popular servicio web de acortamiento de URL, para ocultar el enlace al payload de Bitbucket. Lo interesante es que los usuarios creen que han aterrizado en una página web legítima, aunque sea servida por una dirección IP diferente.
¿A qué usuarios afecta el malware Coronavirus?
El número actual de posibles víctimas en los últimos dos días se estima en aproximadamente 1.193, a juzgar por el número acumulado de descargas de los repositorios de Bitbucket encontrados aún activos.
Los investigadores de Bitdefender también descubrieron que los principales países afectados son Francia, Alemania y Estados Unidos, que representan más del 73% del total. Italia y España podrían estar incluidas, ya que Bitbucket ya ha bloqueado dos repositorios, lo que hace imposible tener un panorama completo del número de víctimas.
¿Cómo defenderse del malware Coronavirus?
Además de cambiar las credenciales de acceso al panel de control del router, se recomienda a los usuarios que cambien las credenciales de la cuenta en la nube de Linksys, o de cualquier cuenta de administración remota de sus routers, para evitar cualquier adquisición a través de ataques que utilicen el método de “fuerza bruta” o de credential stuffing.
También se recomienda asegurarse de que el firmware del router esté siempre actualizado, ya que esto evita que los hackers exploten vulnerabilidades aún no identificadas para apoderarse del dispositivo. Finalmente, es importante asegurarse de que todos los dispositivos tengan instalada una solución de seguridad que impida el acceso a sitios web de phishing o fraudulentos y la descarga e instalación de malware.
Pubblicato in Guías y tutoriales
Sé el primero en comentar