DNSChanger es un troyano secuestrador de DNS . [1] [2] El trabajo de una empresa estonia conocida como Rove Digital , las computadoras infectadas con malware modificando las entradas de DNS de una computadora para apuntar hacia sus propios servidores de nombres deshonestos , que luego inyectaban su propia publicidad en las páginas web. En su apogeo, se estimó que DNSChanger había infectado más de cuatro millones de computadoras, generando al menos US $ 14 millones en ganancias para su operador por ingresos publicitarios fraudulentos. [3]
Tanto en Windows y Mac OS X variantes de DNSChanger se distribuyeron, éste toma la forma de un troyano relacionado conocido como RSPlug . El FBI allanó los servidores maliciosos el 8 de noviembre de 2011, [4] pero mantuvo los servidores en funcionamiento después de capturarlos para evitar que los usuarios afectados perdieran el acceso a Internet hasta el 9 de julio de 2012.
Operación
DNSChanger se distribuyó como una descarga automática que afirmaba ser un códec de video necesario para ver contenido en un sitio web, en particular, que aparece en sitios de pornografía fraudulentos . Una vez instalado, el malware modificó la configuración del Sistema de nombres de dominio (DNS) del sistema, y los dirigió a servidores de nombres no autorizados operados a través de afiliados de Rove Digital. [3] Estos servidores de nombres fraudulentos sustituyeron principalmente la publicidad en las páginas web con la publicidad vendida por Rove. Además, el servidor DNS deshonesto redirigía los enlaces a ciertos sitios web a los de los anunciantes, como, por ejemplo, redirigir el sitio web del IRS al de una empresa de preparación de impuestos . [5] Los efectos de DNSChanger también podrían extenderse a otras computadoras dentro de una LAN imitando un servidor DHCP , apuntando a otras computadoras hacia los servidores DNS no autorizados. [5] En su acusación contra Rove, el Departamento de Justicia de los Estados Unidos también informó que los servidores deshonestos habían bloqueado el acceso a los servidores de actualización para el software antivirus . [6]
Apagar y servidores DNS provisionales
El 1 de octubre de 2011, como parte de la Operación Ghost Click (una investigación colaborativa sobre la operación), el Fiscal de los Estados Unidos para el Distrito Sur de Nueva York anunció cargos contra seis ciudadanos estonios y un ciudadano ruso conectado a DNSChanger y Rove Digital por cable. fraude , intrusión informática y conspiración . [6] Las autoridades estonias realizaron arrestos y el FBI incautó servidores conectados al malware ubicado en los Estados Unidos. [3]
Debido a la preocupación de los agentes del FBI de que los usuarios aún infectados por DNSChanger podrían perder el acceso a Internet si los servidores DNS no autorizados se cerraran por completo, se obtuvo una orden judicial temporal para permitir que el Consorcio de Sistemas de Internet operara servidores de reemplazo, que atenderían las solicitudes de DNS de aquellos que aún no habían eliminado la infección y recopilar información sobre los que aún estaban infectados para notificarles de inmediato sobre la presencia del malware. [7] Si bien la orden judicial expiraba el 8 de marzo de 2012, se otorgó una extensión hasta el 9 de julio de 2012 debido a preocupaciones de que todavía había muchas computadoras infectadas. [5] F-Secure calculó el 4 de julio de 2012 que al menos 300,000 computadoras todavía estaban infectadas con el malware DNSChanger, 70,000 de las cuales estaban ubicadas en los Estados Unidos. [8] Los servidores DNS provisionales fueron cerrados oficialmente por el FBI el 9 de julio de 2012. [9]
Se consideró que el impacto del cierre fue mínimo, debido en parte a que los principales proveedores de servicios de Internet proporcionan sus propios servicios de DNS temporales y apoyo a los clientes afectados por DNSChanger. y campañas informativas sobre el malware y el cierre inminente. Estos incluían herramientas en línea que podían verificar la presencia de DNSChanger, mientras que Google y Facebook proporcionaban notificaciones a los visitantes de sus respectivos servicios que aún estaban afectados por el malware. [8] Para el 9 de julio de 2012, F-Secure estimó que el número de infecciones DNSChanger restantes en los EE. UU. Había disminuido de 70.000 a 42.000. [9]
Referencias
- ^ Troyano: Win32 / Dnschanger.O - Microsoft
- ^ "Análisis antivirus para fdde13872caa1a0e1b9331188ca93b8fc424fed43d86d5cf53f6965f6a77184e] en 2017-01-30 04:47:37 UTC - VirusTotal" . www.virustotal.com .
- ^ a b c "Cómo la estafa de botnet más masiva jamás hizo millones para los piratas informáticos estonios" . Ars Technica . Consultado el 6 de julio de 2012 .
- ^ "Esthost derribado - mayor derribo de ciberdelincuentes en la historia - blog de inteligencia de seguridad de TrendLabs" . 9 de noviembre de 2011.
- ^ a b c "¡No pierdas Internet en julio! El FBI repite la advertencia de DNSChanger" . PC World . Consultado el 6 de julio de 2012 .
- ^ a b "Siete acusados en caso de fraude de clics impulsado por malware" . Ars Technica . Consultado el 6 de julio de 2012 .
- ^ " El malware ' DNSChanger' podría dejar a miles de personas cuando los dominios se oscurezcan el lunes" . Cableado . Consultado el 6 de julio de 2012 .
- ^ a b "¿Está infectado con el malware DNSChanger?" . PC World . Consultado el 6 de julio de 2012 .
- ^ a b "Los ISP informan de un impacto mínimo del cambio de DNS" . PC World . Consultado el 13 de julio de 2012 .
enlaces externos
- www.dcwg.org - Grupo de trabajo del cambiador de DNS; herramientas e información para diagnosticar infecciones DNSChanger