Dim_nexus botnet supera a otro malware con nuevas y potentes funciones


Una nueva purple de bots ha entrado en el panorama de amenazas que los investigadores dicen que «avergüenza» a otros en la escena, como Mirai y Qbot.

El miércoles, investigadores de la firma de ciberseguridad Bitdefender dijo la nueva botnet, denominado «darkish_nexus», incluye una variedad de características y capacidades que van más allá de las que se encuentran típicamente en las botnets de hoy.

Las botnets son redes de máquinas, productos de World wide web de las cosas (IoT) y dispositivos móviles que han sido comprometidos y esclavizados a un controlador principal. Juntos, estos dispositivos se pueden usar para realizar ataques distribuidos de denegación de servicio (DDoS), lanzar campañas de spam en masa y más.

Dark_nexus, llamado así debido a las cadenas impresas en su banner, tiene enlaces de código para Mirai y Qbot, pero el equipo dice que la mayoría de las funciones de la botnet son originales.

«Si bien podría compartir algunas características con botnets IoT previamente conocidas, la forma en que se han desarrollado algunos de sus módulos lo hace significativamente más potente y robusto», dice Bitdefender.

Dark_nexus existe desde hace tres meses y durante este tiempo, se han lanzado tres versiones diferentes. Honeypots ha revelado que hay al menos 1,372 bots conectados a la red de bots, y la mayoría se alojan en China, la República de Corea, Tailandia y Brasil.

Para comprometer una máquina después del descubrimiento, la botnet utilizará relleno de credenciales y exploits. Se utilizan dos módulos, uno sincrónico y otro asincrónico, pero ambos intentarán utilizar el protocolo Telnet y las listas de credenciales predefinidas para obtener acceso.

«Al igual que los escáneres empleados por otras botnets generalizadas (…) el escáner se implementa como una máquina de estados finitos que modela el protocolo Telnet y los pasos de infección posteriores, en los que el atacante emite comandos de forma adaptativa en función de la salida de comandos anteriores». Bitdefender explicó.

Durante el inicio, la botnet utiliza los mismos procesos que Qbot Se implementan varias bifurcaciones, se bloquean algunas señales y luego la botnet se separa del terminal. De la misma manera que Mirai, la botnet se unirá al puerto 7630. Además, el malware intenta ocultar sus actividades renombrándose a / bin / busybox.

Ver también: Esta nueva variante del malware de la botnet Mirai está dirigida a dispositivos de almacenamiento conectados a la crimson

La botnet tiene una carga útil personalizada para un whole de 12 arquitecturas de CPU diferentes y se entrega dependiendo de la configuración y configuración de la víctima.

Dark_nexus utiliza un enfoque bastante único para mantener un punto de apoyo en una máquina, una forma de &#39evaluación de riesgos&#39 realizada en los procesos existentes. Se incluye una lista de procesos en la lista blanca en el código del malware, junto con sus identificadores de proceso, que dicta los procesos que se consideran correctos. Todo lo que cruza un «umbral de sospecha» es asesinado.

La botnet se conecta a dos servidores de comando y regulate (C2) junto con un servidor de informes que recibe informes de servicios vulnerables, que contienen números de IP y de puerto, en el momento del descubrimiento.

Las direcciones del servidor están codificadas en descargadores ligeros o una función de proxy inverso, en algunos casos, se utiliza para convertir a cada víctima como un proxy para el servidor de alojamiento, que luego sirve las muestras encontradas en un puerto aleatorio.

CNET: Fb retira cuentas falsas vinculadas a Egipto y Francia

Los ataques lanzados por la botnet son bastante típicos, con una excepción: el comando browser_http_req. Bitdefender dice que este elemento es «altamente complejo y configurable» e «intenta disfrazar el tráfico como tráfico inocuo que podría haber sido generado por un navegador».

Otra característica de interés es un intento de evitar que un dispositivo se reinicie. El servicio cron se ve comprometido y detenido, mientras que los permisos también se eliminan de los ejecutables que podrían reiniciar una máquina.

Se cree que el desarrollador de la botnet es griego. Helios, un conocido autor de la botnet que ha estado azotando servicios DDoS en foros clandestinos durante varios años.

TechRepublic: Inicio de prevención de fraude trabajando en una crimson anónima de verificación de igual a igual

Los investigadores también encontraron proxies socks5 en algunas versiones del malware, una característica que también se encuentra en botnets como las variantes Mirai, TheMoon y Gwmndy, y continúan observando el desarrollo de la botnet con interés.

«Una posible motivación sería vender acceso a estos servidores proxy en foros clandestinos. Sin embargo, todavía no hemos encontrado evidencia de esto», dice Bitdefender.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary