El malware evoluciona

La evolución de la tecnología no solo afecta al hardware y al software, el código malicioso también «mejora». Lo último es una nueva generación de código que sustituye los servicios de DNS y DHCP para dirigir nuestra navegación a páginas web falsas desarrolladas por ciberdelincuentes. Se trata de un tipo de código extremadamente peligroso y que se extiende rápidamente incluso por redes WiFi.

Según informan en Security Fix, el malware está evolucionando de forma preocupante en los últimos tiempos aplicando técnicas hasta ahora desconocidas. Por lo visto la última evolución apunta a programas que se pueden extender incluso por cercanía dentro de redes locales sustituyendo servicios de red y que son capaces de redirigir la nevegación a páginas web creadas para la captura de datos sin autorización. 

Esta nueva generación de malware procede de la familia DNSChanger, un tipo de código que se aloja en ciertas páginas web y que se carga en los ordenadores de los infectados simulando ser un códec o un plug-in para el navegador que supuestamente necesitamos para visualizar cierto contenido multimedia. Este tipo de malware sustituye las tablas de DNS de los ordenadores infectados para redirigir las actividades en la red de la víctima a servidores controlados por los desarrolladores del código malicioso. Es decir, al introcudir una dirección web (por ejemplo) no nos proporcionará la web original sino otra alojada en otro servidor con una dirección que no se corresponde con la correcta.

Se trata de un código peligroso y que puede afectar a cualquier ordenador basado en Windows o Mac OS pero también potencialmente a cualquier dispositivo conectado a Internet. La evolución de este tipo de código aporta ahora un falso servidor DHCP, el servicio encargado en una red de asignar direcciones IP dinámicas, que se ocupa de asignar la dirección IP y además aportar una dirección de servidor de DNS con tablas modificadas. Este tipo de malware puede infectar a equipos que se encuentren en la misma red local o que utilicen el mismo punto de acceso a Internet de forma muy rápida.

Según McAfee, que ha publicado un documento sobre esta nueva forma de malware, esta evolución es significativa pues se trata de problemas de seguridad mucho más difíciles de detectar y de reparar. De hecho es posible que un ordenador no esté infectado por el código pero igualmente tenga cambiada su dirección de DNS a un servidor falso que redirige el tráfico por otro ordenador que sí está infectado. Es complicado que un antivirus pueda detectar un cambio de DNS si no existe un malware instalado en el sistema que pueda encontrar.

El código de esta nueva variante del DNSChanger sustituye el controlador ArcNet NDIS para inyectar en el tráfico de la red paquetes con configuraciones DHCP. Para detectar si estamos infectados o si nos ha afectado el problema tendremos que revisar nuestra configuración de DNS y comprobar si coincide con la original. Para evitar problemas con este tipo de infecciones podemos cambiar la configuración de la DNS de forma manual y utilizar un servidor de DNS que nos proporcione nuestro proveedor de acceso.