Hackers Secuestrando el DNS de los Routers para Entregar una Falsa Aplicación de COVID-19

Los hackers están utilizando el miedo por el actual brote de Coronavirus (COVID-19) como cebo para ciberataques, ya sea explotando los Mapas del Coronavirus para robar información de los usuarios, o una falsa Aplicación de Seguimiento del Coronavirus para bloquear dispositivos Android, o una aplicación maliciosa de Android que promete conseguir una máscara de seguridad contra el Coronavirus, o el intento de hackeo reportado contra la Organización Mundial de la Salud (OMS).

En una campaña de ciberataque recién descubierta, los investigadores han encontrado que los hackers supuestamente están secuestrando la configuración DNS de los routers para que los navegadores web muestren alertas falsas de COVID-19 de la OMS y redirijan a los usuarios de computadoras con Windows a contenido malicioso.

Según BleepingComputer, las víctimas de la campaña vieron cómo sus navegadores web se abrían automáticamente y mostraban un mensaje que les instruía a descargar un “Informador de Emergencia – COVID-19” o “Aplicación Informativa COVID-19” que supuestamente era de la OMS. En realidad, la aplicación fraudulenta es el malware robador de información llamado Oksi.

Tras una investigación más profunda, se encontró que estas alertas eran el resultado de un ciberataque que cambió los servidores DNS configurados en los routers D-Link o Linksys de las víctimas para usar servidores DNS operados por los atacantes.

Dado que la mayoría de las computadoras utilizan la dirección IP y la información DNS proporcionada por su router, los servidores DNS maliciosos redirigieron a las víctimas a contenido malicioso bajo el control de los atacantes, según los expertos.

Para aquellos que no lo saben, Oksi es capaz de robar datos basados en el navegador, incluidos cookies, historial de internet e información de pago, así como credenciales de inicio de sesión guardadas, billeteras de criptomonedas, archivos de texto, información de autocompletar formularios del navegador y bases de datos de autenticadores 2FA de Authy.

Aún no está claro cómo los atacantes obtuvieron acceso a los routers afectados, pero algunos usuarios afirman que dejaron habilitadas sus capacidades de acceso remoto con una contraseña de administrador débil.

“Este ataque destaca la necesidad de que las personas se aseguren de cambiar el nombre de usuario/contraseña predeterminados de su router doméstico, ya que varios de los usuarios afectados admitieron tener una combinación débil o predeterminada”, dijo Laurence Pitt, director de estrategia de seguridad global en Juniper Networks. “La mayoría de los proveedores de internet hoy en día proporcionan routers que tienen una configuración de seguridad predeterminada de fuerza decente. Parece que este ataque ha apuntado a una cierta marca de router, [lo que] también indicaría que los usuarios han dejado la combinación de administrador/contraseña predeterminada para acceder al dispositivo.”

Según BleepingComputer, cuando una computadora se conecta a una red, Microsoft utiliza una función llamada ‘Indicador de Estado de Conectividad de Red (NCSI)’ para verificar la conectividad a internet.

En este caso, en lugar de conectarse a la dirección IP legítima de Microsoft, los servidores DNS maliciosos envían al usuario a un sitio controlado por hackers que muestra la alerta para descargar e instalar un falso ‘Informador de Emergencia – COVID-19’ o ‘Aplicación Informativa COVID-19’ de la OMS.

Si un usuario descarga e instala la aplicación, en lugar de recibir una aplicación de información sobre COVID-19, se instalará el troyano robador de información Oski en su computadora.

Cuando se lanza, este malware intentará robar información como cookies del navegador, historial de internet del navegador, información de pago del navegador, credenciales de inicio de sesión guardadas, billeteras de criptomonedas, archivos de texto, información de autocompletar formularios del navegador, bases de datos de autenticadores 2FA de Authy, una captura de pantalla del escritorio del usuario en el momento de la infección, y más.

Esta información robada se carga luego a un servidor remoto donde los atacantes recopilan los datos para realizar más ataques en las cuentas en línea de la víctima para robar dinero de cuentas bancarias, realizar robo de identidad o más ataques de spear phishing.

Si tu navegador está abriendo aleatoriamente una página promocional de una aplicación de información sobre COVID-19, asegúrate de reconfigurar tu router para que pueda recibir automáticamente sus servidores DNS de tu ISP. También se aconseja restablecer tu contraseña a una más fuerte y deshabilitar la administración remota en el router.

Para aquellos que han descargado e instalado la aplicación de COVID-19, realiza un escaneo de malware inmediatamente en tu computadora. Una vez limpio, asegúrate de cambiar las contraseñas de todos los sitios cuyas credenciales están guardadas en tu navegador, así como de los sitios que visitaste después de haber sido infectado. Más importante aún, asegúrate de usar una contraseña única en cada sitio mientras restableces tus contraseñas.