Por desgracia estas últimas semanas estamos viendo muchos tipos de ataques relacionados con el coronavirus. Los piratas informáticos están aprovechándose de este complejo periodo para usar el miedo o las Fake News para atacar. Hoy nos hacemos eco de un tipo de ataque que consiste en secuestrar los DNS de los routers para difundir aplicaciones maliciosas relacionadas con el coronavirus y de esta forma atacar a las víctimas.
Secuestran los DNS de los routers para enviar aplicaciones falsas
Este nuevo ataque está secuestrando la configuración de los DNS de los routers con la única finalidad de que los navegadores muestren alertas relacionadas con el Covid-19. Concretamente mostraría a la víctima una aplicación falsa que simula pertenecer al a Organización Mundial de la Salud con información relacionada con el coronavirus y pretende servir de ayuda.
Sin embargo hay que mencionar que esa supuesta aplicación es en realidad un malware. Se trata del malware Vidar, diseñado para robar información de las víctimas. Un problema que, como podemos ver, pone en riesgo la seguridad y privacidad de los usuarios.
Muchos usuarios han estado indicando estos últimos días que su navegador mostraba mensajes de alerta relacionados con el coronavirus. Les mostraba un mensaje en el que indicaban que descargaran la aplicación de información de Covid-19. Se hace pasar por la OMS y aseguraban que era legítima para estar al tanto de las últimas noticias y, en definitiva, ayudar también a prevenir.
Un grupo de investigadores de seguridad analizó el problema y descubrieron que se trata de un tipo de ataque que secuestra los DNS de los routers. Básicamente cambia los servidores DNS configurados para mostrar así páginas fraudulentas. Según indican los investigadores este problema ha afectado a routers D-Link y Linksys.
Hay que tener en cuenta que la mayoría de los ordenadores usan la dirección IP y la información DNS del router. De esta forma los servidores DNS maliciosos estaban redirigiendo a las víctimas al contenido que habían creado los ciberdelincuentes.
Una contraseña débil, posible causa
Al tiempo de escribir este artículo los investigadores de seguridad no conocen con exactitud cómo han podido acceder al router y cambiar los DNS. Sin embargo todo hace indicar que han logrado el acceso remoto al router debido a una contraseña débil.
En caso de poder acceder de forma remota al router tendrían el control para cambiar los servidores DNS. Como siempre decimos, es muy importante contar con contraseñas que sean fuertes. Es un error mantener la clave predeterminada de acceso al router o utilizar contraseñas que sean débiles y puedan ser averiguadas fácilmente.
Cuando la víctima descargue esa aplicación que en teoría muestra información sobre el coronavirus, estaría introduciendo un troyano en su equipo. Este malware tendría la capacidad de robar información del equipo de la víctima como las cookies del navegador, el historial, información de pago, archivos de texto, posible base de datos de autenticación en dos pasos o incluso realizar capturas de pantalla del escritorio.
Toda esta información podría servir para acceder a cuentas de los usuarios, llevar a cabo ataques Phishing e incluso robar dinero de cuentas bancarias.