Un nuevo malware emergente de botnet de IoT detectado en la naturaleza

malware de red de bots ddos

Investigadores de ciberseguridad han descubierto una nueva amenaza emergente de botnet de IoT que aprovecha los dispositivos inteligentes comprometidos para organizar ataques de ‘denegación de servicio distribuido’, potencialmente activados bajo demanda a través de plataformas que ofrecen servicios DDoS de alquiler.

La botnet, denominada «dark_nexus» por los investigadores de Bitdefender, funciona empleando ataques de relleno de credenciales contra una variedad de dispositivos, como enrutadores (de Dasan Zhone, Dlink y ASUS), grabadoras de video y cámaras térmicas, para cooptarlos en la red de bots

Hasta el momento, dark_nexus consta de al menos 1372 bots que actúan como un proxy inverso y se extienden por varios lugares de China, Corea del Sur, Tailandia, Brasil y Rusia.

«Si bien puede compartir algunas características con botnets IoT previamente conocidas, la forma en que se han desarrollado algunos de sus módulos lo hace significativamente más potente y robusto», dijeron los investigadores. «Por ejemplo, las cargas útiles se compilan para 12 arquitecturas de CPU diferentes y se entregan dinámicamente en función de la configuración de la víctima».

La evidencia reunida por Bitdefender apunta a griego.helios como el individuo detrás del desarrollo de dark_nexus, que es un autor de botnet conocido por vender servicios DDoS en plataformas de redes sociales y usar un canal de YouTube para anunciar sus capacidades.


Inspirado en las conocidas botnets Qbot y Mirai

Al observar las similitudes de dark_nexus con el malware bancario Qbot y Mirai, los investigadores de Bitdefender dijeron que sus módulos principales son «en su mayoría originales» y que se actualizan con frecuencia, con más de 30 versiones lanzadas durante el período de diciembre de 2019 a marzo de 2020 (versiones 4.0 a 8.6).

red de bots nexo oscuro

«El código de inicio del bot se asemeja al de Qbot: se bifurca varias veces, bloquea varias señales y se separa de la terminal», dijeron los investigadores.

«Luego, en la línea de Mirai, se une a un puerto fijo (7630), lo que garantiza que una sola instancia de este bot pueda ejecutarse en el dispositivo. El bot intenta disfrazarse cambiando su nombre a ‘/bin/busybox’. ‘ Otra característica prestada de Mirai es la desactivación del perro guardián mediante llamadas ioctl periódicas en el dispositivo virtual».

La infraestructura consta de varios servidores de comando y control (C2) (switchnets[.]red: 30047 amd thiccnigga[.]yo: 30047), que emiten comandos remotos a los bots infectados y servidores de informes a los que los bots comparten detalles sobre servicios vulnerables (por ejemplo, dispositivos protegidos por contraseñas predeterminadas).

Una vez que el ataque de fuerza bruta tiene éxito, el bot se registra en el servidor C2 identificando la arquitectura de la CPU del dispositivo para transmitir la carga de infección personalizada a través de Telnet, descargar archivos binarios del bot y otros componentes de malware desde un servidor de alojamiento (switchnets).[.]net: 80), y ejecutarlos.

Además, algunas versiones de la botnet (4.0 a 5.3) vienen con una función de proxy inverso que le permite a la víctima actuar como un proxy para el servidor de alojamiento, lo que le indica al dispositivo infectado que descargue y almacene localmente los ejecutables necesarios en lugar de tener que conectarse. al servidor de alojamiento central.

Eso no es todo. dark_nexus viene con comandos de persistencia que evitan que el dispositivo se reinicie al detener el servicio cron y eliminar los privilegios de los servicios que podrían usarse para reiniciar dicho dispositivo en cuestión.

red de bots iot nexo oscuro

«También utiliza una técnica destinada a garantizar la ‘supremacía’ en el dispositivo comprometido», observó Bitdefender.

«Excepcionalmente, dark_nexus utiliza un sistema de puntuación basado en pesos y umbrales para evaluar qué procesos pueden representar un riesgo. Esto implica mantener una lista de procesos en la lista blanca y sus PID, y eliminar todos los demás procesos que cruzan un umbral (mayor o igual a 100) de sospecha».

Sus dispositivos IoT están en alquiler

La botnet Mirai, desde su descubrimiento en 2016, se ha relacionado con una serie de ataques DDoS a gran escala. Desde entonces, han surgido numerosas variantes de Mirai, en parte debido a la disponibilidad de su código fuente en Internet.

Asimismo, los autores de botnets han llevado a cabo ataques de fuerza bruta en sitios de WordPress para insertar el troyano bancario Qbot y descargar malware adicional.

El hecho de que dark_nexus se construya sobre los cimientos de Mirai y Qbot es una prueba de las tácticas en evolución de los operadores de botnets y de los piratas informáticos sin experiencia por igual, lo que les permite agregar nuevas funciones mediante la explotación de una variedad de vulnerabilidades en dispositivos IoT poco seguros y acumular ejércitos de botnets modernos.

«Usando videos de YouTube que muestran algunos de sus trabajos anteriores y publicando ofertas en varios foros de ciberdelincuentes, greek.Helios parece tener experiencia con habilidades de malware de IoT, perfeccionándolas hasta el punto de desarrollar la nueva red de bots dark_nexus», afirmaron los investigadores de Bitdefender.

Continua leyendo