TLP: White
Nivel de riesgo: [Alto]
Acción requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red, correos phishing.
Impacto: La infección exitosa de un dispositivo con este programa malicioso puede ocasionar que un usuario malintencionado obtenga información confidencial de las organizaciones.

Descripción

Expertos en seguridad han identificado una nueva versión de un conjunto de programas maliciosos llamado “GhostDNS” que está dirigido a comprometer routers, de manera principal en Europa, Australia y América, y tiene como objetivo modificar la configuración del dispositivo para dirigir a los usuarios a sitios Web fraudulentos haciéndoles creer que visitan la página oficial.

La primera vez que se identificó GhostDNS fue en el año 2018 y afectó a más de 100 mil routers, principalmente en Brasil, comprometiendo más de 70 marcas de dispositivos y versiones de firmware.

Las investigaciones acerca de GhostDNS informan que esta nueva versión tiene como finalidad cambiar la configuración de entrada DNS del dispositivo para dirigir a los usuarios a páginas maliciosas e instalar keyloggers y robar información confidencial, como credenciales de acceso a servicios, tarjetas bancarias, entre otros.

Los expertos identificaron que GhostDNS tiene dos métodos para modificar la configuración DNS: “RouterEK” el cual ataca desde la red local y requiere que el usuario haga clic en un enlace malicioso, generalmente por correos phishing, para realizar un ataque CSRF (Cross Site Request Forgery) al router de su red. El otro método que utiliza este programa malicioso es “BRUT”, un escáner que busca routers expuestos en Internet, sin embargo, ambos requieren solicitudes CSRF para cambiar la configuración de DNS en el dispositivo. El programa malicioso cambia la configuración mediante un ataque de fuerza bruta a partir de un diccionario de 22 u 88 credenciales, a partir de ahí, GhostDNS modifica la configuración DNS para que apunte a los servidores controlador por el atacante.

Cabe destacar que en las investigaciones realizadas se encontró una lista de prefijos con direcciones IP en 69 países para actividades de escaneo de dispositivos, con principal objetivo en Estados Unidos, México, Canadá, Brasil, Colombia, Argentina, Chile, Venezuela, Costa Rica, Australia y Alemania.

Nivel de riesgo

  • Alto

Indicadores de compromiso IoCs

A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.

  • Direcciones IP identificadas:
    • 162.254[.]204[.]26
    • 162.254[.]204[.]30
    • 198.55[.]124[.]146
    • 185.70[.]186[.]4
    • 185.70[.]186[.]7
  • URLs relacionadas con esta campaña:
    • httxx://novonovonovo.users.scale[.]virtualcloud[.]com[.]br
    • httxx://avast.users.scale[.]virtualcloud[.]com[.]br

Medidas de contención

  • No abrir enlaces cuyo origen sea desconocido y/o sospechoso.
  • Verificar el remitente de cada correo electrónico antes de realizar la descarga de cualquier documento adjunto.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.

Referencias