Comprueba los DNS de tu router; GhostDNS ha estado cambiando los DNS de más de 100.000 routers

Escrito por Rubén Velasco

Los servidores DNS son los encargados de traducir las URL que nosotros introducimos en el navegador por las direcciones IP correspondientes de manera que el router sepa hacia dónde debe enviar los paquetes. Los DNS más comunes suelen ser los que nos ofrecen los proveedores de Internet, además de los conocidos de Google (8.8.8.8), Cloudflare (1.1.1.1) e IBM (9.9.9.9). Sin embargo, los piratas informáticos también tienen sus propios servidores DNS, servidores que suelen utilizar para engañar a los usuarios y reenviar el tráfico de estos hacia webs falsas y peligrosas, tal como hace GhostDNS.

Después de VPNFilter, varios investigadores de seguridad vuelven a avisar sobre una nueva campaña maliciosa a través de Internet, llamada GhostDNS, cuya principal finalidad es cambiar los DNS de los routers para reenviar el tráfico de los usuarios a páginas web maliciosas, falsas, controladas por los propios piratas informáticos.

Esta campaña afecta a más de 70 modelos de routers diferentes y, a través de una botnet, se usa la fuerza bruta para lograr acceder a los routers, o utilizando el exploit dnscfg.cgi para saltarse la página de login.

El módulo de GhostDNS encargado de cambiar la configuración de los DNS de los routers es DNSChanger. Este módulo cuenta con más de 100 scripts que se ejecutan hasta dar con el que consiga cambiar esta configuración en los routers vulnerables.

GhostDNS Login

Además de este módulo de cambio de DNS, este malware cuenta con otros módulos para tomar el control del router, módulos como un panel de administrador que seguramente dé control a los piratas informáticos sobre el router de forma remota y otros componentes relacionados con el DNS, como una base de datos de dominios relacionados con bancos, servicios en la nube y el módulo encargado de resolver los dominios legítimos para enviarlos a las webs falsas.

De momento esta nueva amenaza informática está centrada en Brasil, aunque dada su naturaleza es muy fácil de escalar y llevar a otros países del mundo, por lo que debemos asegurarnos de proteger cuanto antes nuestros routers para no caer en las garras de GhostDNS.

Cómo proteger nuestro router de GhostDNS

Como podemos ver en la anterior captura, este malware usa principalmente la fuerza bruta para lograr acceder a los routers de las víctimas. Por ello, una de las primeras medidas de seguridad que debemos aplicar en nuestro router es cambiar la contraseña por defecto por otra contraseña segura que no pueda ser adivinada por fuerza bruta.

Por seguridad, también sería recomendable descargar la última versión del firmware desde la página web principal del fabricante e instalarla en el router. Si ya tenemos la última versión, sería aconsejable volver a flashear el firmware (y borrar la configuración actual) de manera que, si hemos sido ya infectados, podamos eliminar la amenaza.

Por último, otro consejo de seguridad es revisar manualmente la configuración DNS de nuestro router. Si estamos utilizando unos DNS conocidos y fiables, como los de Google, por ejemplo, entonces no deberíamos tener problemas. Si tenemos otros servidores configurados, seguramente nuestro router esté comprometido, y deberíamos, además de cambiar los DNS del router, seguir los dos pasos anteriores cuanto antes para, además de mejorar nuestra seguridad, mejorar la conexión usando los mejores DNS para nuestra red.

Si, además, al intentar en una web, como Netflix, vemos cualquier sospecha, puede que nuestro router, o nuestro PC, esté reenviando el tráfico a otros servidores. Debemos poner remedio a esto cuanto antes para restablecer nuestra seguridad.

¿Qué te parece la nueva campaña GhostDNS?

Fuente > gbhackers