http://www.elmundo.es/tecnologia/2018/05/29/5b0bd534268e3e40068b4580.html
El 'malware' Roaming Mantis se está exteniendo por equipos de Europa y Asia, motivo por el que se recomienda reinicar el router de Internet
Y no es el único: el FBI hace la misma recomendación para acabar con el virus VPNFilter
La compañía de ciberseguridad Kaspersky Lab ha alertado sobre la expansión del 'malware' Roaming Mantis, de ciberataques a routers mediante la técnica de secuestro del sistema de nombres de dominio (DNS), que ha comenzado a afectar a usuarios europeos y que ha incorporado minería de criptomoneda.
A su vez, el FBI y otras fuerzas de seguridad estatales, entre ellas la Policía Nacional, han avisado de otro malware que podría haber infectado medio millón de equipos en todo el mundo. VPN Filter, por fortuna, ya ha sido localizado y se ha frenado su proliferación, pero reiniciar el router serviría para eliminarlo de los equipos que han sido infectados.
Dos virus para routers
Roaming Mantis, con origen en Asia, es una campaña de 'malware' diseñada principalmente para robar información del usuario, incluidas las credenciales, y para proporcionar a los ciberdelincuentes el control total sobre el dispositivo comprometido, como ha explicado Kaspersky Lab a través de un comunicado.
Tras detectarse el pasado mes de abril, Roaming Mantis ha ampliado su campo de actuación a Europa y Oriente Próximo. El 'malware' ha añadido también una opción de 'phishing' para dispositivos iOS y capacidad de minería de criptomonedas en PC.
Los ciberatacantes buscan con este virus 'routers' vulnerables para comprometer, y distribuyen el 'malware' mediante el secuestro de la configuración DNS de esos routers. Tras la infección, el 'malware' conduce a los internautas a URL falsificadas donde los anima a descargar una nueva versión de Chrome.
En realidad, Roaming Mantis instala una aplicación troyana llamada 'facebook.apk' o 'chrome.apk', que incluye una puerta trasera para Android. El virus solicita permiso para recibir notificaciones y es capaz de recopilar datos como los de la autenticación de dos factores.
Por el momento, se desconoce la forma de comprometer los routers, pero Kaspersky Lab ha identificado como posibles responsables a un grupo cibercriminal de habla coreana o china que busca obtener beneficios económicos, debido que incluye las referencias a banca móvil y a aplicaciones de juegos populares en Corea del Sur.
El 'malware', que dispone de soporte para un total de 27 idiomas, ha incorporado nuevas funciones como el desvío a páginas de 'phishing' en dispositivos iOS o capacidades de minería de criptomonedas en PC a través de una web maliciosa.
Para proteger la conexión a Internet de esta infección, Kaspersky Lab recomienda consultar el manual de usuario del 'router' y avisar al proveedor de Internet en caso de alteraciones. Asimismo, es aconsejable cambiar las claves del administrador del router y actualizar el 'firmware' del dispositivo desde la fuente oficial.
Otro virus llegado de Rusia
En cuanto a VPN Filter, la infección parece haber llegado a routers de 54 países diferentes y tener origen en un grupo de hackers relacionado con Rusia llamado Fancy Bear. Y al parecer, puede inutilizar los equipos infectados con facilidad.
Linksys, MikroTik, Netgear o TP-Link, grandes fabricantes del mundo de los routeres y la conectividad, son los principales infectados, según han advertido desde Cisco.
El reinicio del router acabaría con dos de las tres variantes del malware VPN Filter. La tercera es la que el FBI combate en estos momentos, con éxito: han cerrado el dominio desde el que se controlaba la infraestructura del ataque y podrán identificar los equipos infectados en breve.
Symantec, la compañía especializada en seguridad, ha publicado una breve lista de equipos que pueden estar afectados, a saber:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Other QNAP NAS devices running QTS software
- TP-Link R600VPN
No hay comentarios:
Publicar un comentario