El kit de exploits GhostDNS estaba en los titulares el año pasado, cuando fue descubierto por los investigadores de NetLab de Qihoo 360.
En aquel momento, los investigadores encontraron una campaña maliciosa generalizada que había secuestrado más de 100,000 enrutadores domésticos para modificar su configuración de DNS e inundar a los usuarios con páginas web maliciosas. La idea de la campaña de malware era atraer a los usuarios a visitar sitios bancarios específicos para obtener credenciales de inicio de sesión.
Más información sobre GhostDNS y cómo se filtró su código fuente
GhostDNS es un kit de explotación de enrutadores que implementa solicitudes de falsificación de solicitudes entre sitios (CSRF). Esto se hace para cambiar la configuración de DNS y redirigir a los usuarios a páginas de phishing para obtener sus datos de inicio de sesión. Al parecer,, los analistas de malware acaban de recibir acceso sin restricciones al código fuente de este peligroso malware.
Esto ocurrió debido a un error honesto: el código fuente completo y muchas páginas de phishing se comprimieron en un archivo RAR, llamado KL DNS.rar… Y cargado en una plataforma de intercambio de archivos. El cargador, sin embargo, no protegió con contraseña el archivo. Además, el cargador tenía instalado el antivirus Avast en su sistema, con el escudo web habilitado. Esta característica protege contra contenido malicioso en línea, que activó las detecciones del kit de explotación del enrutador.
Hace un año (Mayo 2019), nuestro Avast Web Shield, una función en nuestro programa antivirus que protege a las personas del contenido web malicioso, bloqueó una URL de la plataforma de intercambio de archivos uploadspace.com. Resultó que uno de nuestros usuarios de Avast no era bueno, cargar un archivo RAR con contenido malicioso en el servidor. El usuario olvidó deshabilitar Avast Web Shield mientras hacía esto., y como el archivo no estaba protegido con contraseña, fue analizado automáticamente por Shield y activó nuestro kit de explotación de enrutadores (YO) detecciones, Los investigadores de Avast compartieron en su blog post, detallando este curioso evento..
Luego, los investigadores descargaron el archivo y descubrieron el código fuente completo del kit de exploits GhostDNS.
El archivo KL DNS.rar que descargaron los investigadores tiene todo lo necesario para ejecutar una exitosa campaña de secuestro de DNS. Estas campañas se realizan con el propósito de robar datos de la tarjeta de crédito., credenciales a diferentes sitios web, o cualquier otra información que los usuarios tienden a escribir.
Al parecer,, el código fuente de GhostDNS está disponible para la venta en darknet. En 2018, el malware se vendió en línea por aproximadamente $450. El código fuente de GhostDNS no es lo único que se puede comprar. Los datos de la tarjeta de crédito robados con su ayuda también se pueden comprar por aproximadamente $10-25, dependiendo del número de detalles de la tarjeta. Según los investigadores de Avast, estos datos todavía estaban disponibles para su compra en abril 2020.
En octubre 2019, sucedió otro curioso incidente relacionado con datos de tarjetas de crédito robadas. Una de las tiendas subterráneas más grandes para comprar datos de tarjetas de crédito robadas fue hackeado. Como resultado, más que 26 millón de tarjetas de crédito y débito datos se extrajeron de la tienda.