Los ataques de DNS hijacking, malware disfrazado de la OMS por COVID-19

Investigadores han descubierto que cibercriminales han estado ejecutando ataques de DNS hijacking para distribuir malware. Las víctimas han manifestado que su navegador web abría un sitio por sí solo que ofrecía descargar una app para mantenerse informado sobre el coronavirus (COVID-19), en nombre de la Organización Mundial de la Salud (OMS).

También conocidos como secuestro de DNS, estos ataques de DNS hijacking han sido revelados tras las investigaciones por reportes realizados de varios usuarios que alegaban esta irregularidad.

En un publicación del blog de seguridad de ESET se ha explicado que los ataques de DNS hijacking son aquellos donde un ciberdelincuente consigue modificar los servidores de DNS para redirigir a los usuarios a sitios del interés del atacante y poder distribuir malware.

“De esta manera, cuando un usuario escribe en el navegador el nombre de un dominio, como puede ser: ejemplo.com, el DNS malicioso le devolverá para esa búsqueda un sitio malicioso”.

Estos ataques detectados recientemente, según lo indicado, modifican los servidores de DNS de routers D-Link y Linksys. “Por el momento se desconoce cómo es que los cibercriminales lograron comprometer los routers para alterar la configuración de los DNS”, se ha añadido en clara réplica de la publicación que inicialmente anunció el hallazgo.

Todo esto, a pesar de que los usuarios que reportaron el incidente han afirmado que tienen activa la opción de administración remota del dispositivo (algo que a juicio de los expertos de ESET no es recomendable desde el punto de vista de la seguridad) y con una contraseña débil.

Sitios controlados por ciberdelincuentes

En la entrada de blog se ha explicado que Microsoft utiliza una función llamada “Network Connectivity Status Indicator (NCSI)” para comprobar que el equipo está conectado a Internet.

Una de estas pruebas, en el caso de Windows 10, será conectarse al sitio específico y verificar que la URL muestra el mensaje “Microsoft Connect Test”, lo cual indicará que el equipo está efectivamente conectado a Internet.

“Sin embargo, en el caso de los usuarios que se han visto comprometidos por este ataque de secuestro de DNS, en lugar de conectarse a la IP legítima de Microsoft para llevar adelante este proceso, los servidores maliciosos redireccionaban a las víctimas a un sitio web con otra IP (controlado por los atacantes)”.

En lugar de mostrar un mensaje indicando el estado de la conexión, esos sitios web redireccionados mostraban un mensaje a las víctimas en nombre de la Organización Mundial de la Salud, invitando a la víctima a descargar una supuesta app de la OMS para estar informado sobre la COVID-19 y recibir instrucciones.

En caso de descargar la supuesta aplicación de la OMS, de acuerdo a la publicación inicial, lo que la víctima descargaba en su equipo era malware (el troyano Oski, el cual robaba las credenciales de acceso almacenadas una vez ejecutado).

Además, este malware se hacía de los datos financieros almacenados en el navegador, billeteras de criptomonedas, el historial del navegador y las cookies, archivos de texto y la información que el navegador almacena para autocompletar formulario, entre otra información.

“Una vez recolectada esta información, la misma será subida a un servidor para que luego pueda ser recolectada por los cibercriminales, quienes luego podrán utilizar esta información para robar dinero de la cuenta bancaria de la víctima o realizar ataques de phishing dirigidos, entre otras cosas más”.

Detectar un DNS hijacking

Cecilia Pastorino, investigadora de ESET, ha publicado un artículo titulado “Cómo detectar si tu router fue afectado por DNS Hijacking” donde explica la forma en que un usuario puede verificar si es víctima de este tipo de ataques de DNS hijacking.

La especialista ha recomendado hacer una consulta pública para verificar qué servidores son los que están respondiendo y, para ello, es posible utilizar sitios de verificación de DNS como DNS Leak Test o What´s my DNS Server.

“Para que el atacante logre cambiar los DNS debe explotar otra falla de seguridad existente, por lo que es importante revisar que el router este bien configurado y de forma segura”.

Pastorino y otros investigadores de ESET también han comentado que es importante asegurar la red, sin importar la temporada o los tiempos de emergencia como el generado por la COVID-19. En este punto se hace clave tener un router configurado de manera segura y actualizado.

Y es que, según lo indicado en la publicación, de esto dependerá si el usuario tiene el control del router o si el equipo está bajo el mando del proveedor de servicios de Internet (ISP).

Para más detalles de cómo configurar un router de manera segura, desde ESET se ha recomendado la lectura de los siguientes artículos: 5 formas de comprobar si tu router está configurado de manera segura y guía sobre cómo configurar tu router para optimizar la seguridad de tu red Wi‑Fi.