GhostDNS es una campaña que tiene similitud o proviene directamente de Malware DNSChanger, cuya función primordial radica en robar datos confidenciales de los ordenadores, proporcionando cualquier tipo de información que pueda contener en su disco como también datos sobre claves o registros que se empleen dentro de la web.
En la actualidad se ve que GhostDNS tiene como principal país de ataque a Brasil, se tiene información que esta campaña ha comprometido la seguridad de cien mil enrutadores de los cuales el 87,8 % se encuentran ubicados en Brasil, esto ha dificultado a dominios empresariales como Citibank.br, Neflix y grandes bancos en la localidad.
¿Cómo funciona el GhostDNS?
GhostDNS funciona al igual que su predecesor, busca direcciones de IP de los enrutadores que usen contraseñas o parámetros de seguridad débil o nulos y una vez logra acceder a él realiza el cambio de los DNS por un administrador de los atacantes, dejando así a merced toda la información que circule por la red de internet del ordenador.
GhostDNS bajo las investigaciones realizadas por los investigadores de cibernética has demostrado que posee 4 pasos fundamentales que son:
- Módulo de DNSchanger para ubicar Enrutadores específicos.
- Módulo de administración web para el acceso de los atacantes bajo credenciales.
- Módulo de RogueDNS que se encarga de resolver los nombres de dominio.
- Módulo web de phishing destinado a mostrar la información falsa correcta, luego de que se resuelve con éxito los DNS en el modulo anterior.
Estos ataques o incursiones de campañas como las de GhostDNS puede prevenirse y evitarse de forma rápida, se debe tener enrutadores actualizados y a su vez mantener el Fireware de los mismos actualizados a sus últimas versiones, no permitir la administración remota de los enrutadores y cambiar las contraseñas por algunas más complejas.
URL:
https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html