Una nueva campaña de ataque de la utilización de casos actualizados de la piel ‘Seek N IO botnet actualmente están atacando a los usuarios en todo el mundo. El análisis de la seguridad de las muestras capturadas escaparate que el código actualizado una amplia gama de apoyo servidores de bases de datos. Esto le da a la piratería grupos un arma formidable que puedan utilizar en ataques avanzados.
Ocultar ‘Seek N IO Botnet Actualizado con nuevas capacidades
se han encontrado cepas recién capturados de la piel ‘N Seek la IO botnet para contener un código base actualizado. Las cepas capturados revelan que las nuevas versiones de los programas maliciosos pueden dirigirse a varios servidores de bases presentando así una amenaza aún mayor.
El primeras versiones de Hide ‘N Seek fueron encontrados en enero en campañas globales a gran escala que fueron capaces de infectar a miles de dispositivos de manera rápida. El análisis realizado muestra que los piratas informáticos detrás de las infiltraciones utilizan numerosas vulnerabilidades de encontrar una debilidad e infectar el host de destino. A principios de mayo 2018 Las estadísticas indican que el botnet ha infectado a más de 90 000 Hospedadores. Otras adiciones a que en ese momento incluían una nuevo módulo de persistencia.
Tales adiciones reconfigurar la configuración del sistema de destino con el fin de que se inicie automáticamente el malware una vez que el dispositivo está encendido. Se vuelve a configurar los parámetros de arranque con el fin de eludir los servicios o aplicaciones que pueden interferir con ella es correcta ejecución. Si los dispositivos de Windows son los infectados, el motor puede modificar el respectivo Las entradas del registro mediante la modificación de los pertenecientes al gestor de arranque, además de que se instalen las entradas que pertenecen al mismo.
Hide ‘N Seek Mecanismo IO Botnet de la infección
Las infecciones se llevan a cabo de una manera P2P, que no se basan en una ubicación centralizada desde donde los ataques se están haciendo. Esto hace que sea mucho más eficaz que los administradores de seguridad tendrán un tiempo mucho más difícil filtrar los hosts maliciosos.
Las versiones más recientes de la piel ‘N Seek la IO botnet se ha encontrado para incluir exploits nuevas que se dirigen vulnerable Cisco Linksys enrutadores y webcams AVTECH. El motor tiene ahora un adicional 171 nodos P2P codificados y otras nuevas características tales como una La minera criptomoneda. Esto instala una instancia de software que hace uso de los recursos disponibles del sistema con el fin de generar activos en moneda digitales que se generan automáticamente a las carteras de los hackers.
El motor utiliza una infección escáner de puertos que parece estar tomada de la red de bots Mirai. El análisis muestra que busca puertos abiertos a los servicios comunes (puertos 80, 8080/2480, 5984 y 23) y otros seleccionados al azar las. Una nueva adición es la capacidad de infectar a las bases de datos - tanto OrientDB y Apache CouchDB son compatibles.
Hay tres maneras distintas de la botnet puede ponerse en contacto con los otros compañeros que forman la red:
- Ponerse en contacto con el incorporado en la lista de los Pares.
- Los argumentos de línea de comandos especificados.
- Siguiendo las instrucciones de otros pares.
Cuando los casos se inician sin argumentos la piel ‘N Seek la IO Botnet el nodo local enviará una serie de paquetes UDP de salida y en el fin de informar la infección.
La razón por la piel N’ Seek IO botnet es temido como un arma efectiva la piratería es la motivación detrás de él. Los criminales parecen estar dirigidas tanto a las empresas y agencias gubernamentales mediante la adición de las nuevas capacidades de infección. Las actualizaciones más recientes también pueden ser señal de una campaña global generalizada contra los usuarios finales que con frecuencia emplean cámaras web y los dispositivos IO como parte de sus compras de equipos para el hogar inteligente.
Si se utiliza la red de bots para causar sabotaje a los huéspedes infectados entonces esto se puede hacer mediante el uso del motor de manipulación de la base de datos. Los delincuentes pueden utilizar para borrar, manipular o secuestrar la información almacenada, así como la planta de virus en los ordenadores de las víctimas.
Otro daño que se puede infligir incluye comportamiento de caballo de Troya. En este caso se establece una conexión segura a un nodo de servidor o P2P pirata informático controlado. A través de ella los delincuentes pueden espiar a las víctimas, en tiempo real, así como tomar el control de los dispositivos y desplegar amenazas adicionales.
La característica peligrosa de infecciones de botnet es que en muchos casos los usuarios de las víctimas pueden no experimentar ningún síntoma.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: