Es complicado de detectar, sobre todo porque la amenaza no actúa sobre el equipo del usuario sino sobre los routers que ofrecen acceso a Internet. Equipos domésticos que en muchos casos tienen activado el control remoto y poseen unas credenciales no seguras. DNSChanger ha vuelto y continúa haciendo lo que mejor sabe hacer: modificar las credenciales de los routers para mostrar páginas falsas.
Esto quiere decir que el ataque no solo se focaliza en un dispositivo concreto, sino en todos los que se encuentran conectados al router que ofrece acceso a Internet. Tal vez sea mucho más sofisticado que otros ataques, pero resulta mucho más eficaz e invisible de cara a las herramientas de seguridad instaladas en muchos equipos, siendo muy complicada (por no decir imposible) realizar su detección. Os recomendamos visitar nuestro tutorial sobre qué es AP isolation en un router.
Pero hay que recordar los orígenes de esta amenaza. Apareció por primera vez en 2012 y su finalidad no era otra que infectar los equipos y modificar los servidores DNS del ordenador infectado para que el usuario accediese a páginas web falsas. Sin embargo, de esta versión a la que se está distribuyendo en la actualidad hay una diferencia bastante importante que seguro más de uno se ha dado cuenta por lo que hemos citado hasta este momento.
El funcionamiento es básico. Cuando un usuario intenta acceder por ejemplo a Facebook.com, los servidores DNS redirigirán al usuario a otra página que en realidad es falsa y en la que el usuario introducirá las credenciales, produciéndose el robo de las mismas.
DNSChanger se centra en los routers
Afectar a equipos es una buena técnica. Sin embargo, es mucho mejor afectar a routers, permitiendo afectar a un número mayor de equipos con menos infecciones y sin que las herramientas de seguridad descubran la amenaza. Los creadores de esta nueva versión han modificado la forma de actuar y se están centrando en routers que poseen fallos de seguridad o simplemente con unas credenciales de acceso que no son seguras.
La forma de infectar los dispositivos es relativamente sencilla. El exploit que distribuye el malware se ubica en anuncios que puedan estar distribuidos en casi cualquier página web. Cuando el usuario accede se analiza el router que proporciona acceso y en el caso de ser vulnerable DNSChanger comienza el proceso de la modificación de los servidores DNS.
Routers neutros y de ADSL2+ afectados por igual
Expertos en seguridad han aclarado que es complicado realizar un listado de los routers afectados por vulnerabilidades. Obviamente no incluyen aquellos que están protegidos de forma incorrecta por sus propietarios. Lo que sí han querido aclarar es que tanto aquellos routers instalados en conexiones de fibra óptica como los presentes en conexiones de cobre son susceptibles de verse afectados por este malware.