¿Cómo puede afectar el malware a un enrutador?

¿Cómo es posible infectar un enrutador?

Hay muchos posibles vectores de infección.

• En una de esas infecciones, el malware se utiliza para alterar el enrutador y su configuración DNS. Este malware infecta el enrutador desde la red local (El malware DNS Changer apunta a los enrutadores domésticos).

  El malware redirigiría a los usuarios a versiones maliciosas de las páginas. Esto permite a los delincuentes robar credenciales de cuentas, números PIN, contraseñas, etc.

  Como se señala enotra respuesta, el DNS también se puede utilizar para redirigir solicitudes a través de servidores de anuncios.

• En otra infección, el malware infecta el enrutador desde Internet utilizando una falla en el código de acceso remoto del enrutador (Un extraño ataque infecta los enrutadores Linksys con malware autorreplicante).

• Se pueden encontrar muchas otras variantes de malware de enrutador buscando "malware de enrutador".

---

El malware DNS Changer apunta a los enrutadores domésticos

Los enrutadores domésticos se pueden utilizar para robar credenciales de usuario y la mayoría de la gente aún no lo sabe. Los delincuentes han encontrado formas de utilizar el malware cambiador del sistema de nombres de dominio (DNS) para convertir el enrutador de red más discreto en una herramienta vital para sus planes.

Ya sabemos que los enrutadores a veces vienen con configuraciones de servidor DNS maliciosas. En este escenario, el malware se utiliza para alterar el enrutador y su configuración DNS. En el caso de que los usuarios intenten visitar sitios web bancarios legítimos u otras páginas definidas por los malos, el malware redirigiría a los usuarios a versiones maliciosas de dichas páginas. Esto permitiría a los ciberdelincuentes robar las credenciales de las cuentas de los usuarios, números PIN, contraseñas, etc.

Hemos visto un número creciente de sitios maliciosos relacionados en Brasil (casi el 88% de todas las infecciones), Estados Unidos y Japón. Estos sitios ejecutan un script de navegador que realiza un ataque de fuerza bruta contra el enrutador de la víctima, desde la red interna. Con acceso a la interfaz de administración a través de las credenciales correctas, el script envía una única solicitud HTTP al enrutador con una dirección IP de servidor DNS maliciosa. Una vez que la versión maliciosa reemplaza la dirección IP actual, la infección finaliza. A excepción de los archivos temporales de navegación, no se crea ningún archivo en la máquina víctima, no se necesita ninguna técnica persistente y nada cambia.

La configuración de DNS modificada significa que los usuarios no saben que están navegando a clones de sitios confiables. Los usuarios que no cambian las credenciales predeterminadas son muy vulnerables a este tipo de ataque.

FuenteEl malware DNS Changer apunta a los enrutadores domésticos

---

Un extraño ataque infecta los enrutadores Linksys con malware autorreplicante

El ataque comienza con una llamada remota al Protocolo de administración de redes domésticas (HNAP), una interfaz que permite a los ISP y otros administrar de forma remota los enrutadores domésticos y de oficina. La función remota está expuesta por un servidor web integrado que escucha los comandos enviados a través de Internet. Por lo general, requiere que el usuario remoto ingrese una contraseña administrativa válida antes de ejecutar comandos, aunque errores anteriores en implementaciones de HNAP han dejado a los enrutadores vulnerables a ataques. Después de usar HNAP para identificar enrutadores vulnerables, el gusano explota una vulnerabilidad de omisión de autenticación en un script CGI. (Ullrich no identifica el script porque permanece sin corregir en muchos enrutadores antiguos y no quiere que sea más fácil para los atacantes atacarlo). Ullrich dijo que ha descartado contraseñas débiles como la causa de las infecciones de Linksys.

FuenteUn extraño ataque infecta los enrutadores Linksys con malware autorreplicante

En realidad, no es una infección en el sentido tradicional. En cambio, simplemente cambia la configuración DNS de su enrutador para que las solicitudes se realicen a servidores DNS especiales. Estos servidores están configurados para redirigirlo a sitios falsos y/o versiones de sitios reales infectadas con malware.

Por ejemplo, podrían crear una copia del sitio web de su banco. La próxima vez que intente acceder a la banca en línea, podrían obtener sus credenciales y, dependiendo de qué tan seguro sea el sitio web de su banco, incluso robarle su dinero.

DanielB no se equivoca, pero su pregunta es más del tipo "cómo".

Los enrutadores normalmente están configurados para no permitir la administración remota desde fuera de su LAN. Pero aceptarán acceso de administración remota desde computadoras dentro de su propia LAN.

Tu malwareprobablementeusadosucomputadora para acceder a las páginas de administración, por lo que el enrutador aceptó una conexión de administración desde dentro de la LAN. Es posible que el malware lo haya hecho completamente desde una sesión del navegador, pero lo más probable es que simplemente haya introducido un troyano en su sistema que luego inspeccionó el enrutador y probó una lista de vulnerabilidades conocidas (como simplemente usar la contraseña predeterminada de fábrica) y luego realizó cambios en la configuración. al DNS para enrutar todas sus solicitudes a través de sus servidores de anuncios, donde representan todas sus páginas y les inyectan código.

Probablemente deberías hacerle un restablecimiento completo de fábrica (consulta el manual, pero generalmente algo como: apágalo, presiona y mantén presionado el botón de reinicio durante 90 segundos mientras lo vuelves a encender) y luego reconfigurarlo. Cambie la contraseña.

Tenga en cuenta que es posible cargar nuevo firmware de esta manera, por lo que es posible que se trate de algo más que un simple cambio de configuración del usuario.

También debe inspeccionar sus computadoras en busca de programas droppers y/o troyanos que simplemente volverán a editar la configuración de su enrutador.