BLOG

Adiós a DNS Changer, ¿Se acabó la pesadilla?

 Adiós a DNS Changer, ¿Se acabó la pesadilla?

Por: Dmitry Bestuzhev, director del equipo de investigación y análisis de Kaspersky para América Latina

En realidad no, especialmente en América Latina. Cada día registramos una gran cantidad de ataques similares, cada uno abusando de las configuraciones DNS. En realidad estos ataques son un poco diferentes ya que modifican el archivo HOST local pero el principio es el mismo – redirigir a la víctima a un host malicioso por medio de registros DNS maliciosos.

Los ciberdelincuentes latinoamericanos reciclan viejas técnicas utilizadas en el pasado y en distintos lugares del mundo, y lo que está pasando actualmente es que hay un incremento en los ataques locales que abusan de configuraciones DNS. El último ataque de malware basado en la ingeniería social – que imitaba la oficina de impuestos en México (SAT) – es un ejemplo reciente de ello.

Al dar clic en la liga, la víctima descarga e instala un troyano relacionado con Ngrbot y que modifica el archivo HOST. Roba dinero de los bancos mexicanos por medio de la redirección de las víctimas infectadas a los sitios web falsos de los bancos.
Existe información interesante dentro del código – la fuente del troyano antes de la compilación.

 
(C:\Users\Alx\Desktop\pharming_root3d\Project1.vbp)

Después de navegar algunos foros clandestinos de habla hispana, encontré que el autor del malware ha estado operando desde finales de 2004 y aparentemente vive en Perú.

La mayoría de las víctimas, por supuesto, son de México. El principal medio de propagación es el correo electrónico y el principal proveedor de correo atacado es el de Yahoo.

 
Hay por lo menos 11 mil 540 descargas de este malware y en general se han detectado por 9 de 31 motores antivirus. Eso significa que básicamente existen alrededor 8 mil infectados.

El hecho de que un cibercriminal experimentado (que opera desde 2004) aún utiliza técnicas maliciosas para abusar configuraciones locales DNS y que puede tener un gran número de víctimas (8mil), confirma una vez más que la tendencia de DNSChanger no cambiará el un futuro cercano. Seguiremos viendo nuevo malware utilizando y mejorando la misma técnica. Esta historia continuará…