esperti di sicurezza informatica hanno riportato la scoperta di una nuova minaccia di malware chiamato Jenx botnet che utilizza tattiche di distribuzione altamente inusuali. Invece di basarsi su messaggi di posta elettronica standard, abusa di uno dei videogiochi più popolari - Grand Theft Auto e dispositivi IoT.
Tattiche Jenx Botnet Discovery e l'infiltrazione
Una nuova infezione botnet a livello mondiale è stato riportato dalla comunità della sicurezza. La nuova minaccia si chiama la botnet Jenx e dispone di un meccanismo di infiltrazione molto insolito. Secondo l'analisi del codice sfrutta diverse vulnerabilità che interessano alcuni modelli di router popolari da parte di Huawei e Realtek. Sono tra i più grandi produttori di apparecchiature di rete e tali modelli sono di solito acquistati da Internet Service Provider (ISP) e dato ai clienti. Ciò significa che potenzialmente migliaia o addirittura milioni di computer possono cadere vittima al test di penetrazione automatizzato. Le due vulnerabilità sono tracciati nei seguenti avvisi di sicurezza:
- CVE-2014-8361 - Il servizio miniigd SOAP Realtek SDK permette attaccanti remoti di eseguire codice arbitrario tramite una richiesta NewInternalClient predisposta.
- CVE-2.017-17.215 - Huawei HG532 CVE-2.017-17.215 vulnerabilità legata all'esecuzione di codice in modalità remota.
La sua interessante notare che entrambi i punti deboli sono presi dal satori botnet. I frammenti sono stati identificati in: messaggi pubbliche fatte dal hacker conosciuto sotto lo pseudonimo “Janit0r” che è l'autore di BrickerBot. Secondo la ricerca la botnet è stato progettato specificamente contro i fornitori di gioco, club e giocatori.
Il codice del malware si infiltra server che di potenza fino giochi e di conseguenza infettare il computer client, nonché. Il collegamento realizzato con il Grand Theft Auto è dovuto al fatto che ha compromesso i server che ospita il botnet Jenx ospitare il gioco. Queste tattiche sono particolarmente efficaci contro bersagli come server di gioco sono noti per la loro connettività di rete e le prestazioni.
Questo è un aggiornamento di follow-up da botnet di base come Mirai. La loro strategia di intrusione è stato quello di fare affidamento su credenziali di default che vengono sondati per l'accesso. Una volta che il malware ha compromesso il dispositivo di destinazione può cambiare le credenziali di account e negare l'accesso ai proprietari. Le botnet di seconda generazione come Satori dipendono da vulnerabilità del firmware e di conseguenza sono molto più efficaci contro potenziali bersagli. La maggior parte dei dispositivi di internet degli oggetti non ricevono gli aggiornamenti critici di sicurezza sia a causa della mancanza di supporto software o del proprietario di negligenza. Gli exploit possono essere facilmente attivati tramite piattaforme automatizzate che rende facile anche per gli utenti principianti di utilizzare nei loro schemi di attacco.
Il Jenx Botnet e la connessione dei server di gioco
Una delle ragioni per cui i server proposti obiettivi del malware di gioco è il fatto che essi sono spesso affittati per interi gruppi o utilizzati nei tornei. Una volta che il codice del malware ha infettato il server stesso può essere utilizzato per diffondere virus ai client connessi attraverso i videogiochi stessi. Di solito si integrano in se stessi videochat opzioni che possono essere abusato.
Usando tattiche di social engineering i criminali possono scegliere di fornire ulteriore malware tramite link pubblicati nel software di chat. Essi possono essere mascherati come messaggi di servizio come i collegamenti di reimpostazione della password, notifiche e ecc.
In altri casi, le vittime possono essere reindirizzati a siti di malware che includono elementi di phishing. Invece di consegnare i file eseguibili i criminali tentano di confondere gli utenti a inserire le proprie credenziali di account di Impostor siti. I criminali di solito prendono la grafica e gli elementi di testo da servizi web e social network che sono tra i siti più ampiamente visitato. Negli ultimi anni questo tipo di truffe sono diventate così avanzato che a volte è difficile dire il falso dal servizio legittimo. I criminali non solo impongono quasi la stessa identità visiva, ma anche firmare i certificati di sicurezza e di stabilire una connessione sicura con le credenziali che hanno una sorprendente somiglianza con quelli effettivi reali.
Funzionalità di infezione Jenx botnet
I ricercatori notano che la botnet è particolarmente pericoloso in quanto integra un avanzato modulo di protezione invisibile che mira a nascondere la minaccia di software per la sicurezza e l'analisi. Tali tecniche sono anche raggruppati in esempi avanzati ransomware in cui il motore di infezione si affaccia per qualsiasi ambiente sandbox o debug, macchine virtuali e prodotti anti-virus. Possono essere disattivato o rimosso. I virus possono anche essere istruiti in cancellando se stessi, se non sono in grado di bypassare la protezione di sicurezza. Tali misure possono anche essere integrati nella rete bot Jenx tramite comandi script. Gli hacker sono stati trovati per distribuire copie del Jenx compatibile con MIPS, ARM e X86, che sono le piattaforme più popolari.
Gli operatori degli hacker cercano di infiltrarsi silenziosamente entrambi i server commerciali e quelle private. La sua interessante notare che che il supporto pubblico ampio sembra un fattore importante da considerare. La comunità criminale dietro gli attacchi sembrano utilizzare un server centralizzato che funge da piattaforma di malware primario. Gli esperti caricano vulnerabilità insieme ad altri script personalizzati per eseguire le fasi di follow-up di infezioni.
I siti infiltrati offrono l'accesso a un Grand Theft Auto San Andreas modded server al prezzo di $16, server TeamSpeak sono venduti per $9. Se gli hacker pagano $20 più si possono utilizzare i server compromessi per gli attacchi DDoS controllati contro singoli obiettivi. I rapporti indicano che la rete di picco approfondita può essere 290 o 300 Gbps. Al momento l'impatto causato dalla botnet Jenx è legato ad una perturbazione minore tra i giocatori locali. Può essere utilizzato per sabotare tornei Grand Theft Auto e il gioco di gruppo.
Gli esperti fanno notare che se i server centralizzati possono essere presi giù l'intera piattaforma può fallire. Si presume che la minaccia può essere aggiornato nelle versioni future di utilizzare un approccio decentrato. infezioni recenti sono stati trovati per caratterizzare un approccio P2P, che è più difficile per mitigare.
Consigliamo a tutti gli utenti la scansione dei loro sistemi per infezioni attive e proteggersi dalle minacce in arrivo utilizzando una soluzione di qualità anti-spyware.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: