GhostDNS, la peligrosa red de bots que roba datos bancarios. Laboratorio de ciberseguridad QuiHoo detectó potente red de bots en Brasil. Está diseñado para robar identificaciones bancarias de los usuarios.

GhostDNS

Una nueva red de bots ha comprometido casi 100 mil enrutadores en Brasil. No menos de 70 modelos vendidos a individuos se ven afectados por este ataque. Es particularmente vicioso. Los hackers no tienen la intención de deshabilitar estos productos o sitios web a través de un ataque DDoS, sino de vaciar las cuentas bancarias.

Radware, un proveedor de servicios de equilibrio de carga y ciberseguridad para centros de datos, ha identificado la última campaña de ataques. Ha sido dirigido a clientes del Banco do Brasil, uno de los bancos más antiguos del país. Al realizar una redirección de DNS, el ciberataque clonó la web de la institución para robar los datos bancarios de los usuarios.

Según QuiHoo la botnet llamada GhostDNS está ganando impulso. En un documento publicado el 29 de septiembre de 2018, el especialista en ciberseguridad especificó la cantidad de enrutadores alcanzados y la cantidad de modelos involucrados.

Para tomar el control de los enrutadores, el programa malintencionado intenta adivinar la contraseña o inicia un script CGI para modificar el servidor DNS asociado con un dispositivo. Al reemplazar el servidor con el de ellos, los hackers se aseguran del control de la Botnet.

De acuerdo con el laboratorio de ciberseguridad, el módulo modificador de DNS se ejecuta en 21 modelos de enrutadores, la versión de JavaScript puede infectar 6 modelos, mientras que la versión de Python se ha instalado en 100 servidores, principalmente en Google Cloud.

El ataque no es despreciable. Casi el 88% de los dispositivos infectados se encuentran en Brasil. Los cambiadores de DNS han infectado más de 50 nombres de dominio en los que Netflix, Citibank.br y otros bancos brasileños han sido hackeados para recuperar las credenciales de los usuarios. Además, servidores DNS no autorizados operaban en Hostkey, Oracle, Multacom, Amazon, Google, Telefónica, Aruba y OVH.

Los enrutadores infectados provienen de D-Link, Cisco, Alcatel, Fiberlink, A-Link, Thomson y Siemens, entre otros. Estos se han visto en Bolivia, México, Rusia, Estados Unidos y Venezuela.

GhostDNS es “una amenaza real para Internet global”. Los investigadores recomiendan que los usuarios de Internet y las empresas brasileñas actualicen sus enrutadores.