Sality es un malware para Windows que lleva en funcionamiento desde 2003. Este malware infecta los sistemas y los convierte en partes activas de una botnet, utilizada posteriormente para otros fines tales como realizar ataques de denegación de servicio, infectar archivos para distribuirse y descargar troyanos de forma remota a los sistemas. Todo su control se realiza a través de conexiones P2P con certificados que garantizan su integridad. Podéis visitar nuestro tutorial sobre desventajas de usar el servidor DHCP del router.
Como es obvio, el malware actual ha cambiado mucho respecto al original de 2003, entre otras cosas, para adaptarse a las nuevas tecnologías y seguir saltándose las nuevas medidas de seguridad. Tras más de 10 años en funcionamiento, este malware sigue activo y en constante actualización añadiendo nuevas funciones y herramientas a esta compleja pieza de malware.
En esta ocasión, el nuevo módulo que se ha detectado en las últimas versiones de Sality añade la posibilidad de cambiar el DNS primario por defecto al router para abrir puertas de enlace directas a él y robar así credenciales FTP, contraseñas o distribuir SPAM a las víctimas de este malware.
El método para cambiar estos DNS en los routers es muy sencillo: fuerza bruta. El malware intenta conectarse al router a través de SSH, prueba con diferentes contraseñas y, una vez tiene acceso, prueba diferentes comandos hasta conseguir el correcto que permita gestionar las DNS internas del router y así cambiarlas por las maliciosas de los piratas informáticos.
Estos DNS, entre otras acciones, se encargan de redirigir el tráfico a páginas web maliciosas cuando los usuarios escriben palabras como Google o Facebook. Estas páginas maliciosas ofrecen descargas de Google Chrome que, en realidad, son versiones modificadas infectadas por Sality y que añaden el sistema a la botnet.
Una vez consigue que el sistema se infecte, las DNS del sistema quedan automáticamente cambiadas a 8.8.8.8 (las DNS de Google) para no levantar sospechas aunque, por lo general, las DNS del router siguen modificadas para facilitar el control de los sistemas por parte de los piratas informáticos.
Según ESET, analizando poco a poco la red se han detectado más de 115.000 direcciones IP pertenecientes a esta botnet. Estas direcciones son equipos y servidores afectados por este malware que aún forman parte de la botnet y que los piratas informáticos controlan de manera oculta para llevar a cabo sus ataques. Sin duda, una herramienta peligrosa que debemos evitar en todo lo posible.
¿Qué opinas de este malware? ¿Conoces otras herramientas maliciosas más complejas?
Os recomendamos leer nuestro tutorial sobre motivos cambiar router WiFi cada dos años.