Según la investigación, una vez que el Gateway es comprometido, los dispositivos detrás del mismo realizan consultas DNS a un servidor malicioso, exponiéndolos a sitios phishing y visitas a sitios que alojan malware, entre otros ataques. El documento publicado indica que entre los equipos afectados se encuentran routers de TP-Link, D-link, Micronet, Tenda y otros.

En el caso de los equipos TP-Link, aparentemente se utilizó un ataque de tipo cross-site request forgery conocido, el cual permite al atacante inyectar una contraseña en blanco a través de la interfaz web de administración del router. Algunos de los dispositivos afectados por el ataque pharming parecen haber sufrido un reemplazo de su firmware Zyxel ZynOS debido a una vulnerabilidad conocida. Otros dispositivos afectados probablemente fueron comprometidos por el uso de contraseñas débiles o predeterminadas.

Los dispositivos afectados sufrieron una modificación en su registro DNS, se incluyeron las direcciones IP 5.45.75.11 y 5.45.75.36. De acuerdo a las estimaciones de Team Cymru, hay aproximadamente 300 000 equipos con direcciones IP únicas haciendo peticiones a esas dos direcciones.

El análisis de esos servidores DNS maliciosos reveló un gran número de equipos comprometidos, incluyendo modelos de D-Link, Micronet, Tenda, TP-Link y otros. Mientras que el mayor número de equipos afectados se encuentra en Vietnam, Italia, Tailandia, Indonesia, Colombia, Turquía, Ucrania, Bosnia y Herzegovina y Serbia, el ataque tiene un impacto global.

De acuerdo a Team Cymru, este ataque no está relacionado al gusano “Moon worm”, que afecta a routers Linksys.

El consejo para mitigar el ataque es verificar la configuración DNS, restringir o deshabilitar la administración remota del router y, de ser posible, bloquear el acceso a los servidores DNS maliciosos.