Menú principal

miércoles, 10 de agosto de 2011

DNS Changer: Cuando el pharming llegó a Mac OS X

DNS Changer es malware para Mac OS X tan sencillo que cualquier usuario podría programarlo. DNS Changer se encarga de cambiar la configuración del fichero que contiene los servidores DNS del equipo, el cual en máquinas basados en UNIX es /etc/resolv.conf. Este malware para Mac OS X fue descubierto el 30 de Noviembre de 2007 y realmente no era más que un script en bash cuya función, como se ha comentado anteriormente, cambia las direcciones IP de los servidores DNS configurados en la máquina atacada. 

A este tipo de ataque en el que se cambian las resoluciones de los servidores DNS, mediante cambios en el fichero de resolución local hosts, o mediante la suplantación directa de lo servidores DNS que va a utilizar la víctima se le conoce como Pharming.

¿Qué se busca con este malware?

El malware por sí no realiza ninguna acción dañina al equipo, simplemente sustituye los valores de las direcciones IP contenidas en el fichero de resolución DNS. Con ello se busca que la víctima resuelva los nombres de dominio en servidores DNS controlados por el atacante, por lo que sería muy sencillo realizar  un ataque de Phishing sobre la víctima, que suele ser el objetivo final de este tipo de acciones.

Si la víctima configurase unos nuevos servidores, o cambiase la configuración al uso de un servicio DHCP, los servidores controlados por DNS Changer se perderían. El atacante también pensó en ello, y para evitarlo DNS Changer también realiza es una copia de sí mismo que se almacena en %System Root%/Library/Internet Plug-Ins/plugins.settings y añadía al Cron una entrada para ejecutar dicho archivo periódicamente.

¿Dónde se encuentra este tipo de malware?

Este tipo de archivos se encontraba, principalmente, en imágenes de disco DMG, en la descarga de generadores de claves (keygen), cracks de aplicaciones, juegos, etcétera. Una vez que el usuario instalaba la aplicación, la cual estaría modificada para lanzar el script y las acciones correspondientes, o una vez que el usuario ejecutara la aplicación con las credenciales de administrador, el malware podría actuar con todo el potencial.

Según la página oficial de control www.dnschanger.com también ha sido encontrado malware con comportamiento similar en archivos o paquetes de codecs de vídeo que se obtenían de páginas web pornográficas. Incluso, ha sido encontrado en otro malware similar como OSX.RSPlug.A, OSX/Puper, OSX/Jahlav-C. Para Mac OS X hay una utilidad gratuita para eliminarlo, en caso de estar infectado: DNS Changer Removal Tool.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares