Los delincuentes están tomando ventaja de las preocupaciones normales de las personas para evitar el contagio del COVID-19. Por lo que inicialmente se recomienda obtener información de las fuentes confiables de cada gobierno o laboratorio.
Investigadores de Bitdefender han descubierto una serie de nuevos ataques destinados a alterar la configuración de DNS de los enrutadores/routers domésticos para redirigir a las víctimas a un sitio web malicioso con temática de coronavirus que ofrece el malware de robo de datos Oski.
Parece que la campaña se dirige principalmente a los enrutadores de Linksys. Si bien se desconoce cómo exactamente los enrutadores están siendo alterados, los investigadores creen que los atacantes usan dispositivos de fuerza bruta, ya sea accediendo directamente a la consola de administración del enrutador expuesta en línea o haciendo fuerza bruta a la cuenta en la nube de Linksys.
La página web a la que se redirige a los usuarios menciona la pandemia de coronavirus, y promete ofrecer la descarga de una aplicación que proporcionará "la última información e instrucciones sobre el coronavirus (COVID-19)", pero de hecho la aplicación contiene Oski Infostealer, un relativamente nuevo malware capaz de robar credenciales almacenadas en navegadores y contraseñas de billetera de criptomonedas.
Una vez que se cambia la configuración de DNS en el enrutador, las solicitudes para abrir una página web se envían desde dos IP: 109.234.35.230 y 94.103.82.249. Todo lo que los hackers tienen que hacer es enviar una ventana emergente cuando visitan una serie de páginas web.
"El botón de descarga tiene la etiqueta" href "(hipervínculo) establecida en https://google.com [/] cromo, por lo que parece estar limpia cuando la víctima se desplaza sobre el botón. Pero en realidad se establece un evento "al hacer clic" que cambia la URL a la maliciosa, oculta en la URL acortada con TinyURL ", dicen los investigadores.
Las muestras de malware se almacenan en Bitbucket, el popular servicio de alojamiento de repositorios de control de versiones basado en la web. Para engañar a los usuarios, los hackers también usan el popular servicio web de acortamiento de URL TinyURL para ocultar el enlace a la carga útil de Bitbucket. Durante la investigación, los investigadores de Bitdefender descubrieron cuatro repositorios de Bitbucket, dos de ellos todavía están activos. El número de descargas del contenido en esas cuentas aún supera el millar, con la mayoría (73%) de las víctimas ubicadas en Alemania, Francia y los Estados Unidos.
https://labs.bitdefender.com/2020/03/new-router-dns-hijacking-attacks-abuse-bitbucket-to-host-infostealer/
