Los analistas de seguridad descubrieron una nueva botnet peligroso basado en Mirai que se utiliza en una campaña de ataque en todo el mundo. Se llama Masuta y que ya ha impactado una gran cantidad de dispositivos, por el momento se cree que un hacker experimentado está detrás de sus operaciones.
El Masuta botnet es un digno heredero de Mirai
Una nueva amenaza de Internet en todo el mundo se ha detectado en una campaña de ataque a gran escala. El último virus informático que ha causado los administradores de seguridad para revisar sus dispositivos. Se llama la Masuta Botnet y está construido sobre los cimientos de Mirai. Su nombre significa “dominar” en el código japonés y su origen se encuentra en uno de los foros de hackers subterráneos. Los expertos fueron capaces de acceder a su archivo de configuración y algunos de los componentes importantes que son parte del motor de software malicioso. El análisis exhaustivo revela que utiliza una versión modificada de la botnet Mirai que ha alterado el sistema de cifrado utilizado para iniciar los ataques.
Los expertos utilizan un dominio llamado Soluciones Nexuis IO que se utiliza como el comando y el control primaria (C&C) en algunos de los ataques. Está registrado con una dirección de correo electrónico alojado en Gmail. Los expertos proponen que es posible que Masuta está siendo operado por Nexus Zeta, también responsable de la botnet satori. Los informes indican que, si bien la Masuta no es del todo una nueva amenaza haber sido basada en código antiguo, está ataques están aumentando de manera constante y que puede tener consecuencias terribles sobre las víctimas. Al igual que su predecesor, que los intentos de comprometer descubierto IOT al intentar acceder a través de credenciales predeterminadas o débiles.
Tácticas botnet Masuta: Amenaza la IO
La botnet Masuta es eficaz contra los dispositivos IO de todos los tipos. Por el momento hay dos variantes identificadas por los expertos:
- Masuta Botnet - Utiliza las mismas técnicas que Mirai, tratando de superar la seguridad de los dispositivos IO de destino utilizando una lista integrada de contraseñas comunes y las credenciales predeterminadas.
- PureMasuta - Esta es una versión mejorada que cuenta con un built-in explotar en contra de la EDB 38722 dispositivo D-Link.
El exploit que figuran en la PureMasuta se basa en una vulnerabilidad en el HNAP (Protocolo de Inicio de administración de redes) protocolo. Al utilizar el código de contenido, puede crear un mensaje de consulta especial que es capaz de eludir el mecanismo de autenticación de seguridad. Como resultado, los delincuentes pueden ejecutar código arbitrario en los dispositivos de destino.
La botnet Masuta está configurado para descargar y ejecutar un script desde la C&Servidor C. Durante el análisis de la seguridad, se descubrió que el malware es capaz de implementar otros ataques similares, tales como CVE-2014-8361 y CVE-2017 a 17215 eficaz contra una amplia gama de dispositivos de red.
Los expertos en seguridad señalan que las hazañas de protocolos utilizados prácticamente permiten a los operadores de hackers para acceder a las máquinas comprometidas y manipulan de acuerdo con sus planes. En comparación con simples ataques de este tipo de ataques permite a los hackers tomar directamente el control de las máquinas. Como consecuencia de ello son posibles otras acciones de malware, incluyendo los siguientes escenarios:
- Troya Instancia - En la práctica el código incrustado se puede utilizar para poner en marcha un virus troyano en los dispositivos IO objetivo. Este tipo de malware permite a los operadores de hackers para espiar a la actividad del dispositivo en tiempo real, así como tomar el control de las máquinas en un momento dado.
- redirección de tráfico - Si los equipos comprometidos son equipos de red de puerta de enlace (tales como routers y switches) los hackers pueden retransmitir el tráfico a través del servidor pirata informático que funciona. Tales acciones se utilizan para instituir complejo man-in-the-middle ataques.
- Entrega de malware - Una vez que la red se ha roto el dispositivo comprometido puede usarse para suministrar diversos tipos de virus a los otros hosts conectados.
Para protegerse de las infecciones de botnet Masuta todos los usuarios de computadoras deben actualizar sus dispositivos IO a la última versión disponible y monitorear el boletín de seguridad de su proveedor para los próximos parches.
Los usuarios de ordenadores pueden deben estar siempre en estado de alerta para las infecciones de malware. Un análisis gratuito puede revelar tales casos y permitir una eliminación simple.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: