Más de 100.000 routers de marcas como D-Link, MicroTik, TP-Link, Huawei y SpeedTouch están actualmente afectados por un malware que modifica los servidores DNS. De este modo, el tráfico puede ser redirigido a portales de phishing y otros sitios web de dudosa procedencia. No se trata de una metodología de infección nueva. Desde el 20 de septiembre de este año se lleva sabiendo de un ataque a gran escala a routers de decenas de marcas con un funcionamiento similar.
En las páginas con este malware, se ejecuta una rutina que examina los puertos del router y trata de loguearse mediante ataques de fuerza bruta. Si lo consigue, cambia las credenciales y el DNS. Muchos usuarios usan las contraseñas y nombres de usuario por defecto, lo cual hace que sea fácil entrar en ellos. Una vez se ha cambiado el servidor DNS, el daño está hecho.
Esta oleada de ataques ha sido descubierta por el laboratorio 360 Netlab y afecta a más de 70 routers diferentes.
3COM OCR-812AP-ROUTERD-LINKD-LINK DSL-2640TD-LINK DSL-2740RD-LINK DSL-500D-LINK DSL-500G/DSL-502GHuawei SmartAX MT880aIntelbras WRN240-1Kaiomy RouterMikroTiK RoutersOIWTECH OIW-2415CPERalink RoutersSpeedStreamSpeedTouchTendaTP-LINK TD-W8901G/TD-W8961ND/TD-8816TP-LINK TD-W8960NTP-LINK TL-WR740NTRIZ TZ5500E/VIKINGVIKING/DSLINK 200 U/ELa mayor parte de los ataques se localiza en Brasil. Tan pronto como un usuario navega en páginas web específicas, es redirigido a portales de phishing como bancas online, Netflix o compañías de hosting. Para solventar este problema, actualiza el firmware, deshabilita el acceso remoto WAN y cambia la contraseña por defecto.
