Lunes, Abril 06, 2020

Nuevo ataque cambia las DNS para descargar apps falsas del coronavirus

router-dns

Hay multitud de ataques y estafas relacionados con el coronavirus. Muchos de ellos intentan hacerse pasar por la OMS, o incluso hay quien está haciendo llamadas de teléfono haciéndose pasar por supermercados para obtener tarjetas bancarias. Ahora, un nuevo ataque busca cambiar las DNS de los routers para llevarte a descargar apps falsas del coronavirus.

El ataque es capaz de cambiar las DNS de tu router para que los navegadores web muestren alertas falsas sobre una supuesta app de la OMS para recibir información del Covid-19. Muchos usuarios han reportado que su navegador abría mensajes que les instaban a descargar la “COVID-19 Inform App” perteneciente a la OMS. Los usuarios afectados tenían routers de D-Link o Linksys.

Que cambien las DNS de tu router es muy peligroso

De momento no se sabe cómo están teniendo acceso los atacantes a los routers, pero algunos usuarios afirman que tenían el acceso remoto del router activado junto con una contraseña por defecto muy débil. Las DNS se modificaban a 109.234.35.230 y a 94.103.82.249, las cuales estaban bajo el control de los atacantes.

Además, también realiza modificaciones en la función de Windows llamada Network Connectivity Status Indicator (NCSI). Esta función se ejecuta periódicamente de manera activa para determinar si estamos conectados a Internet. Una de estas pruebas se conecta a http://www.msftconnecttest.com/connecttest.txt, y comprueba si el contenido que recibe de respuesta contiene el texto “Microsoft Connect Test”. Si lo contiene, entonces el ordenador sigue conectado a Internet. Y si no lo recibe, entonces determina que no está conectado.

No descargar una app, sino un troyano

Así, al cambiar las direcciones por defecto, en lugar de conectarse a la dirección IP de Microsoft para comprobar si estamos conectados (13.107.4.52), te envía a una web ubicada en 176.113.81.159, que está bajo el control del hacker. Esa dirección, en lugar de enviar el mensaje que confirma que estamos conectados a Internet, envía un mensaje de emergencia como el que se ve en la siguiente imagen.

covid-19-app-falsa

Si descargas la app, en lugar de información del coronavirus, lo que habrás metido es un troyano especializado en robar información llamado Vidar. Este malware es capaz de robar información del ordenador de la víctima, incluyendo cookies, historial de navegación, información de pago, credenciales de acceso a webs, carteras de criptomonedas, archivos de texto, casillas de autocompletado, y un largo etcétera. También se hace con una captura de imagen del escritorio.

Toda esa información se envía a un servidor remoto cuya información luego usan los hackers para robar dinero o chantajearte. Por ello, si estás recibiendo esta alerta en tu navegador, debes cambiar de inmediato las DNS de tu router, cambiar la contraseña de acceso por defecto al menú de configuración, y desactivar el acceso remoto al router.

 

Fuente: adslzone

¿Quién está en línea?

Hay 108 invitados y ningún miembro en línea

Contador de Visitas

12677190
Hoy Hoy 370
Ayer Ayer 610
Esta semana Esta semana 370
Este mes Este mes 3595
Total de Visitas Total de Visitas 12677190

Día con más
visitantes

12-17-2019 : 5588

Gracias por su visita