VPNFilter, el malware que infecta routers, es ahora todavía más peligroso

El pasado mes de mayo fue descubierto VPNFilter: un malware que infectaba cientos de miles de routers, NAS y otros dispositivos de red en al menos 54 países. Después de infectarlos, podía usarlos para llevar a cabo ataques mediante botnets. Ahora, investigadores de Cisco Talos Intelligence Group han descubierto aún más capacidades de este sofisticado malware, donde destacan su complejidad.

VPNFilter se está reforzando para ser aún más peligroso

Desde que fuera descubierto a principios de 2018, Talos ha estado analizando durante todo este tiempo el malware, que afectaba a routers y otros dispositivos de red como NAS de marcas como MikroTik, Linksys, NETGEAR, TP-LINK o QNAP.

Este malware cuenta con una actuación en varias fases. En la primera el malware busca (y consigue) infiltrarse de manera persistente en los dispositivos infectados, quedándose ahí incluso aunque lo reinicies. En la segunda fase, procede a recolectar y enviar datos de la red infectada, así como ejecutar comandos maliciosos para intentar controlar dispositivos infectados. En esta fase de control total también es posible que el malware pueda romper el dispositivo y dejarlo inutilizable mediante la reescritura del firmware.

La tercera y última fase consiste en instalar plugins que amplíen las capacidades de la primera fase, como añadir funciones para sniffear paquetes, inyectar scripts, o tener acceso a archivos del sistema. Junto con esto, recientemente han descubierto una nueva serie de módulos adicionales para filtrar datos, cifrar tráfico para esconderlo y que no sea visible por el router, y comunicaciones con un servidor de control remoto.

Siete módulos para tomar el control total de routers

Por si fuera poco, VPNFilter ahora también ha incorporado módulos que son capaces de identificar nuevos objetivos infectables en la propia red donde se encuentra el primer dispositivo infectado. En total, los siete módulos añadidos son los siguientes:

htpx: para inspeccionar y redirigir el tráfico HTTP
ndbr: escaneo de puertos y detectar las direcciones IP de dispositivos infectables en la red
nm: escaneo y mapeo de la red local a través de los dispositivos infectados
netfilter: bloquea aplicaciones a las que los hackers no quieren que accedan los usuarios infectados
portforwarding: reenvía tráfico a infraestructuras controladas por los hackers
socks5proxy: establece un proxy Socks5 para comunicarse con el servidor de control
tcpvpn: establece un VPN con TCP inverso para comunicarse con los dispositivos hackeados.

Desde Talos afirman que VPNFilter ha sido completamente neutralizado en los dispositivos infectados, pero con mucha seguridad habrá todavía miles de dispositivos sin parchear que son vulnerables a él. Por ello, es importantísimo que os aseguréis de que vuestro router está actualizado a la última versión del firmware. Los principales operadores españoles, que tienen sus propios routers, los actualizan de manera remota.

Fuente: adslzone