Cuando hablamos de GhostDNS nos referimos a un kit de explotación que tiene como objetivo atacar routers y cambiar la configuración DNS para usar así solicitudes falsas. De esta forma cuando la víctima navega por Internet puede terminar en páginas modificadas de forma maliciosa que podría ser en realidad un ataque Phishing que busca robar las credenciales y contraseñas. Esta es una de las amenazas que podemos encontrarnos en la red. En este artículo nos hacemos eco de cómo el kit de explotación de GhostDNS se ha filtrado a un antivirus.
Filtran el kit de explotación de GhostDNS a Avast
Concretamente este kit de explotación de GhostDNS ha sido filtrado a Avast. Los analistas recibieron el paquete con los componentes de esta amenaza sin ningún tipo de restricción. Esto significa que lograron tener acceso al código fuente, a las páginas para llevar a cabo ataques Phishing que utiliza, y todo ello comprimido en un archivo RAR. Ese archivo fue subido a una plataforma de intercambio de archivos pero el ciberdelincuente que lo alojó tuvo el descuido de hacerlo sin ningún tipo de cifrado.
Como ese archivo no estaba protegido ejecutaron el antivirus Avast. De esta forma pudieron analizar el archivo con la tecnología de protección web de esta popular herramienta de seguridad. Así lograron activar las detecciones de este kit que ataca routers y pudieron también analizar más detalladamente este malware.
Avast, tras analizar el código fuente del kit de explotación GhostDNS, pudieron confirmar que se trata de una amenaza que se basa en el secuestro de DNS, así como registrar las pulsaciones de teclas para recopilar información confidencial de las víctimas.
Dentro del archivo encontraron dos métodos para atacar el router, EK y BRUT. Para ello en ambos casos requerirían de solicitudes CSRF y poder así cambiar la configuración de DNS en el dispositivo. En el primer caso, EK, el ataque se lleva a cabo desde la red local y es necesario que el usuario haga clic en un enlace malicioso. En el segundo caso, BRUT, se trata de un escáner masivo que busca routers expuestos en Internet de forma pública y los ataca. Esta vez no necesitaría la interacción de la víctima.
Más de 60 países
Los investigadores encontraron además que apuntaba a direcciones IP en 69 países diferentes para escanear en busca de dispositivos que pudieran ser accesibles. Ha habido países de América y Europa y también Australia.
Para obtener acceso al dispositivo y cambiar su configuración DNS, una versión nueva se basa en la fuerza bruta. Una vez tienen acceso al dispositivo de destino el malware cambia la configuración DNS para que apunten a los servidores controlados por los atacantes.
En definitiva, este kit de explotación denominado GhostDNS ha quedado expuesto y desde Avast han podido analizar al detalle su funcionamienot. Estamos ante una de las muchas amenazas que podemos encontrarnos en la red y que podría poner en riesgo nuestra privacidad y seguridad. Es fundamental siempre que contemos con herramientas de seguridad.
Os dejamos un artículo con los servidores DNS más rápidos.