¿Llegó el fin del troyano DNSChanger?

No, y mucho menos en Latinoamérica. Detectamos muchos ataques similares a diario, en los que se abusan las configuraciones de DNS. Estos ataques son un poco diferentes porque modifican el archivo HOST local, pero el principio es el mismo: redirigen a la víctima a un sitio malicioso mediante registros DNS maliciosos.

Los cibercriminales latinoamericanos están acostumbrados a reciclar las viejas técnicas de otros lugares del mundo, y lo que se está viendo ahora es un aumento en los ataques que abusan de las configuraciones DNS locales. El último ataque de ingeniería social de México, que imitaba a la oficina de impuestos mexicana, es un ejemplo reciente de esto.

Al pulsar en el enlace, la víctima descarga e instala un troyano que está relacionado con Ngrbot y modifica el archivo HOST local. Roba dinero de dos bancos mexicanos al redirigir a las víctimas infectadas a sitios web bancarios falsos.

Hay información muy interesante dentro del código (la fuente del troyano antes de la compilación).

(C:UsersAlxDesktoppharming_root3dProject1.vbp)

Después de navegar por algunos foros cibercriminales en español, descubrí que el autor de este malware ha estado operando desde por lo menos 2004, y es posible que viva en Perú.

La mayoría de las víctimas son, por supuesto, de México. El malware se propaga principalmente por correos electrónicos, y el proveedor de correos que más usa es Yahoo mail.

El malware se descargó por lo menos 11.540 veces y lo detectan 9 de 31 motores antivirus. Esto significa que se realizaron alrededor de 8.000 infecciones.

El hecho de que un cibercriminal relativamente experimentado (que opera desde 2004) siga usando tácticas para abusar de las configuraciones DNS para atrapar a una gran cantidad de víctimas (8.000), confirma una vez más que la tendencia de DNSChanger no cambiará pronto. Seguiremos viendo programas maliciosos nuevos que utilizan y refinen la misma técnica. Esta historia continuará…