Ocultar los DNS, la nueva técnica utilizada por los piratas informáticos

Escrito por Rubén Velasco

Los servidores DNS son los encargados de traducir la URL que escribimos en nuestro navegador por su correspondiente dirección IP de manera que esta sea capaz de conectarse con dicha web. Los piratas informáticos suelen modificar en sus ataques los servidores DNS del usuario de manera que el sistema utilice los suyos propios que, entre otras cosas, serán capaces de recopilar datos sobre la navegación del usuario y suplantar ciertas conexiones de manera que se carguen webs publicitarias en lugar de las solicitadas que generen ingresos a estos piratas.

Los piratas informáticos cada vez buscan nuevas técnicas para ocultar lo mejor posible sus ataques, por ello, las empresas de seguridad deben ir siempre un paso por delante y analizar cada amenaza con detenimiento para saber cómo funciona en realidad. Los expertos de seguridad de ESET han estado encontrando últimamente una aplicación maliciosa llamada “DNS Unlocker” la cual cambia la configuración de red del sistema para utilizar sus propios DNS, los cuales son utilizados para mostrar publicidad “patrocinada”.

Publicidad DNS Unlocker

Según informan los expertos de seguridad, las versiones más recientes de este software malicioso cambian los servidores del usuario por los propios, pero utilizan una técnica, desconocida hasta ahora, de manera que estos queden ocultos de cada al usuario.

Si un usuario afectado intenta ver los servidores DNS configurados verá cómo estos están configurados como automáticos, es decir, desde el servidor DHCP. Incluso realizando un ipconfig /all aparecerá que todos los datos del protocolo TCP/IPv4 se están recibiendo a través de este servidor, sin embargo, en realidad no es así.

Propiedades TCP IP

Esto es posible debido a que Windows guarda la información de los servidores DNS del sistema, separados por comas, en la ruta del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\

La configuración normal de estos servidores en el registro es similar a la siguiente:

8.8.8.8,8.8.4.4

Sin embargo, este malware, lo que hace principalmente es modificar esta lista de servidores de manera que, en vez de estar separados por comas lo están por espacios:

8.8.8.8 8.8.4.4

Este sencillo cambio hace que Windows sea capaz de utilizar ambos servidores sin problemas pero que estos no aparezcan en la configuración TCP del sistema, mostrando en su interfaz que los datos se están recibiendo a través del servidor DHCP cuando, en realidad, tiene unos servidores adicionales activos en segundo lugar, los responsables de mostrar, en esta ocasión, toda la publicidad.

Cómo eliminar los servidores DNS ocultos

Por suerte, aunque el sistema nos indique que los datos IP se reciben a través del DHCP, es posible ver las direcciones que se están utilizando. Esto podemos hacerlo desde el botón “Opciones avanzadas” de la ventana de configuración del protocolo IPv4 que vimos anteriormente.

Opciones avanzadas de IP - DNS

Aquí sí que nos aparecerán los servidores que en realidad estamos utilizando, aunque en la otra ventana nos apareciera el uso del servidor DHCP. Para acabar con la infección, lo único que debemos hacer es eliminar los valores que nos aparecen aquí para evitar que todas nuestras conexiones sigan siendo reenviadas hacia los servidores DNS maliciosos y estos sigan tanto controlando nuestra navegación como mostrando anuncios publicitarios cada pocos segundos.

Además, es recomendable analizar nuestro sistema con un software antivirus (por ejemplo, ESET, el propio de la empresa de seguridad que ha reportado este tipo de ataque) y con una herramienta antimalware como Malwarebytes Anti-Malware.

¿Qué opinas sobre esta nueva técnica de ataque?

Quizá te interese:

Últimos análisis

Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9