Los investigadores de Bitdefender han descubierto un nuevo ataque que cambia la configuración DNS de routers domésticos.

Los ciberdelincuentes están dirigiendo ataques de fuerza bruta contra las credenciales de gestión remota de los enrutadores Linksys, con el objetivo de cambiar su configuración DNS y de dirigir a los usuarios a una página web relacionada con el COVID-19 que contiene malware (Oski inforstealer). Se utiliza TinyURL para ocultar el link del repositorio Bitbucket que aloja el malware.

El ataque, que comenzó el pasado 18 de marzo, utiliza un servicio de acortamiento de URLs para enmascarar el link de carga y el repositorio de código Bitbucket para alojar las cargas maliciosas.

Cómo funciona

Las cargas maliciosas se entregan a través de Bitbucket, el popular servicio web de hosting. Para asegurarse de que la víctima no sospeche, los atacantes también utilizan TinyURL, un servicio web de acortamiento de URLs, para ocultar el link a la carga útil de Bitbucket.

La página web a la que se redirige a los usuarios menciona la pandemia del Coronavirus, ofreciendo la disponibilidad de descargar una aplicación que proporciona «la última información e instrucciones sobre coronavirus (COVID-19)».

Los investigadores de Bitdefender señalan que los principales países afectados por este ataque son Francia, Alemania y Estados Unidos, representando más del 73% del total. Italia y España podrían verse también afectadas, aunque como Bitbucket ya ha retirado dos repositorios, es complicado disponer de una imagen completa del número de víctimas.