gli analisti della sicurezza hanno scoperto una nuova botnet pericolosa sulla base di Mirai che viene utilizzato in una campagna di attacco in tutto il mondo. Si chiama Masuta e ha già avuto un impatto un sacco di dispositivi, Al momento si ritiene che un hacker esperto è dietro le sue operazioni.
Il Masuta botnet è un degno erede di Mirai
Una nuova minaccia di Internet in tutto il mondo è stato rilevato in una campagna attacco su larga scala. Il virus informatico più recente che ha causato gli amministratori della sicurezza di rivedere i loro dispositivi. Si chiama Masuta botnet ed è costruito su fondamenta di Mirai. Il suo nome significa “maestro” nel codice giapponese e la sua fonte è stato trovato su uno dei forum di hacker sotterranei. Gli esperti sono in grado di accedere al file di configurazione e alcuni dei componenti importanti che sono parte del motore di malware. L'analisi approfondita rivela che utilizza una versione modificata della botnet Mirai che ha alterato il cifrario utilizzato per avviare gli attacchi.
Gli esperti utilizzano un dominio chiamato Solutions Nexuis IoT che è usato come il comando principale e controllo (C&C) in alcuni degli attacchi. Si è registrato utilizzando un indirizzo di posta elettronica ospitato su Gmail. Gli esperti propongono che è possibile che Masuta viene azionato da Nexus Zeta, anche responsabile per la satori botnet. I rapporti indicano che mentre la Masuta non è del tutto una nuova minaccia essendo stato basato sul codice più vecchio, è attacchi sono in costante aumento e può avere terribili conseguenze sulle vittime. Come il suo predecessore tenta di compromettere scoperto IOT tentando l'accesso tramite le credenziali di default o deboli.
Tattiche botnet Masuta: L'IoT Menace
La botnet Masuta è efficace contro i dispositivi internet degli oggetti di tutti i tipi. Al momento ci sono due varianti identificate dagli esperti:
- Masuta botnet - Esso utilizza le stesse tecniche Mirai tentando di superare la sicurezza dei dispositivi di internet degli oggetti di destinazione utilizzando un elenco di built-in di password comuni e le credenziali di default.
- PureMasuta - Questa è una versione avanzata che dispone di un built-in exploit contro l'EDB 38722 dispositivo D-Link.
L'exploit contenuto nel PureMasuta si basa su una vulnerabilità nel HNAP (Protocollo Home Network Administration) protocollo. Usando il codice contenuto può mestiere un messaggio speciale di query che è in grado di bypassare il meccanismo di autenticazione di sicurezza. Come risultato i criminali possono eseguire codice arbitrario sui dispositivi di destinazione.
La botnet Masuta è configurato per scaricare ed eseguire uno script dalla C&Server di C. Durante l'analisi di sicurezza si è scoperto che il malware è in grado di implementare altri exploit simili come CVE-2014-8361 e CVE-2.017-17.215 efficace contro una vasta gamma di dispositivi di rete.
Gli esperti di sicurezza di notare che le gesta protocollo utilizzato praticamente consentono agli operatori degli hacker per accedere alle macchine compromesse e li manipolano secondo i loro piani. In confronto con attacchi semplici questi tipo di attacchi permettono hacker di prendere direttamente il controllo delle macchine. Di conseguenza le altre azioni del malware sono possibili, compresi i seguenti scenari:
- Trojan istanza - In pratica il codice incorporato può essere usato per lanciare un virus Trojan sui dispositivi di internet degli oggetti di destinazione. Quali il malware consentire agli operatori di hacker per spiare attività del dispositivo in tempo reale, nonché assumere il controllo delle macchine in qualsiasi momento.
- Traffic Redirect - Se gli host compromessi sono apparecchiature di rete di gateway (quali router e switch) gli hacker possono inoltrare il traffico attraverso il server di hacker-operated. Tali azioni sono utilizzati per istituire complesso man-in-the-middle attacchi.
- consegna Malware - Una volta che la rete è stata violata il dispositivo compromesso può essere utilizzato per fornire vari tipi di virus agli altri host collegati.
Per proteggersi dalle infezioni botnet Masuta tutti gli utenti di computer devono aggiornare i loro dispositivi internet degli oggetti per l'ultima versione disponibile e monitorare bollettino sulla sicurezza del loro fornitore per le prossime patch.
Gli utenti di computer possono devono essere sempre in allerta per le infezioni di malware. Una scansione gratuita può rivelare questi casi e consentire una semplice rimozione.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: