El adware DNSBirthday ha sido distribuido en todo el mundo pero ha tenido especial repercusión en EEUU, España, Japón e Italia
Este malware, detectado por las soluciones de ESET como DNSBirthday, podía ser utilizado por los ciberdelincuentes para conectarse a la DNS del usuario e inundar su dispositivo con anuncios no deseados.
El adware DNSBirthday ha sido distribuido en todo el mundo pero ha tenido especial repercusión en EEUU, España, Japón e Italia. La aplicación infectada era aparentemente inofensiva ya que el adware trabaja en segundo plano; la única señal de uso fraudulento la daban unos componentes que no se podían adquirir y que permitían activar funciones de DNS en los navegadores para mostrar anuncios en las webs visitadas por los usuarios.
En el proceso de análisis de la amenaza, los investigadores de ESET descubrieron que todas las comunicaciones estaban relacionadas con RQZTech. Los ciberdelincuentes que trabajan en este proyecto han desarrollado un 'gancho' capaz de enlazar a servidores DNS alternativos cuando detectan que un nombre de dominio determinado se encuentra en la “lista de bloqueo” del archivo de configuración.
“Los creadores de este malware se han esforzado en evitar ser detectados”, explica Marc-Étienne M. Leveillé, investigador sénior de malware en ESET. “Su arquitectura modular permite actualizaciones y la inclusión de más funcionalidades o malware adicional, lo que implica que aún no hemos visto todas sus posibilidades. También es interesante observar que la comunicación con el servidor C&C está securizada por una clave pública fija que previene la interceptación de lo que está ocurriendo”.
Los investigadores de ESET han llegado hasta OVH, la compañía de hosting en la que los ciberdelincuentes albergaban el servidor C&C y las comunicaciones con el servidor DNS fraudulento. Ambos han sido ya eliminados gracias a la intervención de la compañía de software de seguridad.