expertos en seguridad informática reportaron el descubrimiento de una nueva amenaza de malware llamado el JENX botnet que utiliza tácticas de distribución altamente inusuales. En lugar de confiar en los mensajes de correo electrónico estándar abusa de uno de los videojuegos más populares - Grand Theft Auto, así como dispositivos IO.
Tácticas JENX Botnet descubrimiento y la infiltración
Una nueva infección botnet en todo el mundo ha sido reportado por la comunidad de seguridad. La nueva amenaza se llama la red de bots JENX y cuenta con un mecanismo de infiltración muy inusual. De acuerdo con el análisis de código se aprovecha de varias vulnerabilidades que afectan a ciertos modelos de router populares hechas por Huawei y Realtek. Se encuentran entre los mayores fabricantes de equipos de red y tales modelos son adquiridos por los Proveedores de Servicios de Internet (ISP) y teniendo en cuenta a los clientes. Esto significa que potencialmente miles o incluso millones de ordenadores pueden ser víctimas de las pruebas de penetración automatizadas. Las dos vulnerabilidades se realiza un seguimiento en los siguientes avisos de seguridad:
- CVE-2014-8361 - El servicio miniigd SOAP en Realtek SDK permite a atacantes remotos ejecutar código arbitrario a través de una solicitud hecha a mano NewInternalClient.
- CVE-2017 a 17215 - Huawei HG532 CVE-2.017-17.215 Código vulnerabilidad de ejecución remota.
Es interesante observar que tanto las debilidades se toman de la botnet satori. Los fragmentos fueron identificados en los puestos públicos realizados por el hacker conocido con el alias “Janit0r” quien es el autor de BrickerBot. De acuerdo con la investigación de la red de bots está diseñado específicamente contra los proveedores de juegos de azar, clubes y jugadores.
El código malicioso se infiltra en los servidores que potencia los juegos y como resultado infectan las máquinas cliente, así. El vínculo establecido con el juego Grand Theft Auto se debe al hecho de que vean comprometidos servidores que alojan la botnet JENX anfitrión del juego. Estas tácticas son particularmente eficaces contra objetivos como servidores de juego son conocidos por su rendimiento y conectividad de red.
Esta es una actualización de seguimiento de redes de bots de base como Mirai. Su estrategia era la intrusión que depender de las credenciales por defecto que se sondean para acceder. Una vez que el malware se ha comprometido el dispositivo de destino puede cambiar las credenciales de cuenta y denegar el acceso a los propietarios. Las redes de bots de segunda generación, como Satori dependen de vulnerabilidades firmware y, como resultado, son mucho más eficaces contra objetivos potenciales. La mayoría de los dispositivos IO nunca reciben actualizaciones críticas de seguridad, ya sea debido a la falta de soporte de software propietario o negligencia. Exploits se pueden activar fácilmente usando plataformas automatizadas que hace que sea fácil, incluso para usuarios principiantes que lo utilizan en sus esquemas de ataque.
El JENX Botnet y la conexión de servidor de juegos
Una de las razones propuestas por qué los servidores objetivos de malware de juego es el hecho de que con frecuencia se alquilan para grupos enteros o se utilizan en los torneos. Una vez que el código malicioso ha infectado el propio servidor puede ser utilizado para propagar virus a los clientes conectados a través de los propios videojuegos. Por lo general se integran en sí mismos el chat opciones que pueden ser objeto de abuso.
El uso de tácticas de ingeniería social los delincuentes pueden optar por entregar el malware adicional a través de los enlaces publicados en el software de chat. Pueden ser disfrazados como mensajes de servicio, tales como enlaces de restablecimiento de contraseña, notificaciones y etc..
En otros casos, las víctimas pueden ser redirigidos a sitios de malware que incluyen elementos de phishing. En lugar de la entrega de archivos ejecutables a los criminales intentan confundir a los usuarios que introduzcan sus credenciales de cuenta que los sitios impostor. Los delincuentes suelen tener los gráficos y elementos de texto de servicios web y las redes sociales que se encuentran entre los sitios con mayor aceptación. En los últimos años este tipo de estafas se han vuelto tan avanzada que a veces es difícil saber la falsificación del servicio legítimo. Los criminales no sólo imponen casi la misma identidad visual, sino también firmar los certificados de seguridad y establecer una conexión segura con credenciales que tienen un parecido sorprendente con los reales reales.
Capacidades de infección JENX Botnet
Los investigadores señalan que la red de bots es particularmente peligroso, ya que integra un avanzado Módulo de protección de sigilo que pretende ocultar la amenaza de software y análisis de seguridad. Tales técnicas también se encuentran agrupados en muestras ransomware avanzados, donde el motor de infección mira hacia fuera para cualquier entorno de la caja de arena o de depuración, máquinas virtuales y los productos anti-virus. Pueden ser desactivado o eliminado. Los virus también pueden ser instruidos en la eliminación de ellos si no son capaces de pasar por alto la protección de seguridad. Tales medidas también se pueden integrar en la red de bots JENX a través de comandos de script. Se encontró que los hackers para distribuir copias del JENX compatibles con MIPS, ARM y X86, que son las plataformas más populares.
Los operadores de hackers tratan de infiltrarse en silencio ambos servidores comerciales y privados. Es interesante señalar que este apoyo público amplio parece un factor importante a tener en cuenta. La comunidad criminal detrás de los ataques parecen utilizar un servidor centralizado que actúa como la plataforma de software malicioso primaria. Los expertos cargan las vulnerabilidades junto con otros scripts personalizados para ejecutar las etapas de seguimiento de las infecciones.
Los sitios infiltrados ofrecen acceso a un Grand Theft Auto San Andreas modded servidores por el precio de $16, servidores TeamSpeak se venden por $9. Si los piratas informáticos pagan $20 más que pueden utilizar los servidores comprometidos para los ataques DDoS contra objetivos individuales controlados. Los informes indican que la red puede ser exhaustiva pico 290 o 300 Gbps. En el momento del impacto causado por la botnet JENX está relacionada con una alteración de menor importancia entre los jugadores locales. Puede ser utilizado para sabotear torneos de Grand Theft Auto y el juego en grupo.
Los expertos señalan que si los servidores centralizados pueden ser derribados toda la plataforma puede fallar. Se presume que la amenaza puede ser actualizado en futuras versiones de utilizar un enfoque descentralizado. infecciones recientes se han encontrado para ofrecer un enfoque P2P que es más difícil para mitigar.
Se recomienda que todos los usuarios escanear sus sistemas de infecciones activas y protegerse de amenazas entrantes mediante el uso de una solución de calidad anti-spyware.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: