Novo Trojan ‘DNS hijack’

Foi descoberto um novo trojan que pode comprometer uma grande variedade de dispositivos em uma rede local. Uma exploração pode enviar resoluções de nome erradas, enviando sites ‘impostores’ para toda query de DNS feita na rede. Máquinas Windows e não Windows são afetadas.

O malware é um novo variante do ‘conhecido’ DNSChanger, um trojan que ficou conhecido por mudar as configurações de DNS de PCs e Macs. . Segundo informações, a ‘atualização’ do malware permite que uma única máquina infectada possa poluir as configurações de DNS potencialmente de centenas de outros dispositivos rodando na mesma rede local, minando o  Dynamic Host Configuration Protocol, ou DHCP, que dinamicamente aloca endereços IP.

Basicamente, ele tenta responder rapidamente as requisições de IP, antes do DHCP Server, tentando colocar um endereço de DNS de outra localidade, com endereços de sites conhecidos (como por exemplo www.bankofamerica.com) redirecionados.

O cenário reproduz a algo do tipo:

· Uma pessoa conecta um PC infectado pela nova variante DNSChanger em um hotspot Wi-Fi de um cyber café ou rede local de sua empresa.

· Outra pessoa conecta-se à mesma rede usando um dispositivo (computador B) com todos os patchs instalados (um Linux, por exemplo), que pede um endereço IP através de broadcast.

· O PC infectado, envia um comando ‘DHCP offer’ para o computador B para ‘rotear’ todas as requisições de DNS para o DNS ‘rogue’ pré configurado no malware.

· O computador B já não pode ser confiável para visitar websites. Embora barra de endereços do seu navegador esteja aparecendo www.microsoft.com (por exemplo), o site pode ser, na verdade, um site impostor (devido ao DNS rogue).

A única maneira que um usuário possa detectar o ataque em curso é, a verificação manual do servidor DNS usando seu computador (por exemplo, ao digitar "ipconfig / all" o Windows em um prompt de comando).

Vale apena o ‘check-up’ na rede.....