Computer beveiliging experts meldde de ontdekking van een nieuwe malware bedreiging genaamd de JenX Botnet die zeer ongebruikelijk distributie tactiek gebruikt. In plaats van te vertrouwen op standaard e-mailberichten, maakt het misbruik van een van de meest populaire videogames: Grand Theft Auto en IoT-apparaten.
JenX Botnet-ontdekkings- en infiltratietactieken
Er is een nieuwe wereldwijde botnet-infectie gemeld door de beveiligingsgemeenschap. De nieuwe dreiging heet het JenX-botnet en heeft een hoogst ongebruikelijk infiltratiemechanisme. Volgens de code-analyse wordt gebruik gemaakt van verschillende kwetsbaarheden die van invloed zijn op bepaalde populaire routermodellen die zijn gemaakt door Huawei en Realtek. Ze behoren tot de grootste fabrikanten van netwerkapparatuur en dergelijke modellen worden meestal gekocht door internetproviders (ISPs) en uitgedeeld aan klanten. Dit betekent dat mogelijk duizenden of zelfs miljoenen computers het slachtoffer kunnen worden van de geautomatiseerde penetratietests. De twee kwetsbaarheden worden gevolgd in de volgende beveiligingsadviezen::
- CVE-2014-8361 — Met de miniigd SOAP-service in Realtek SDK kunnen aanvallers op afstand willekeurige code uitvoeren via een vervaardigd NewInternalClient-verzoek.
- CVE-2017-17.215 — Huawei HG532 CVE-2017-17215 Kwetsbaarheid van uitvoering van externe code.
Het is interessant om op te merken dat beide zwakke punten zijn ontleend aan de Satori botnet. De fragmenten zijn geïdentificeerd in openbare berichten die door de hacker zijn gemaakt onder de alias “Janit0r” wie is de auteur van BrickerBot. Volgens het onderzoek is het botnet specifiek ontworpen tegen spelaanbieders, clubs en gamers.
De malwarecode infiltreert servers die games opstarten en infecteert daardoor ook de clientmachines. De koppeling met het Grand Theft Auto-spel is te wijten aan het feit dat gecompromitteerde servers die het JenX-botnet hosten het spel hosten. Dergelijke tactieken zijn vooral effectief tegen doelen, aangezien gameservers bekend staan om hun prestaties en netwerkconnectiviteit.
Dit is een vervolgupgrade van basisbotnets zoals Mirai. Hun inbraakstrategie was om te vertrouwen op standaardreferenties die worden onderzocht op toegang. Zodra de malware het doelapparaat heeft aangetast, kan het de accountgegevens wijzigen en de eigenaren de toegang weigeren. De botnets van de tweede generatie, zoals Satori, zijn afhankelijk van kwetsbaarheden in de firmware en zijn daardoor veel effectiever tegen potentiële doelwitten. De meeste IoT-apparaten ontvangen nooit kritieke beveiligingsupdates vanwege een gebrek aan software-ondersteuning of nalatigheid van de eigenaar. Exploits kunnen eenvoudig worden geactiveerd met behulp van geautomatiseerde platforms, waardoor het zelfs voor beginnende gebruikers gemakkelijk is om het in hun aanvalsschema's te gebruiken.
Het JenX Botnet en de Gaming Servers-verbinding
Een van de voorgestelde redenen waarom de malware zich op gamingservers richt, is het feit dat ze vaak worden verhuurd voor hele groepen of worden gebruikt in toernooien. Zodra de malwarecode de server zelf heeft geïnfecteerd, kan deze worden gebruikt om virussen naar de aangesloten clients te verspreiden via de videogames zelf. Meestal integreren ze in zichzelf chatopties die misbruikt kunnen worden.
Met behulp van social engineering-tactieken kunnen de criminelen ervoor kiezen om extra malware te leveren via links die in de chatsoftware zijn geplaatst. Ze kunnen worden vermomd als serviceberichten, zoals links voor wachtwoordherstel, meldingen en etc.
In andere gevallen kunnen de slachtoffers worden omgeleid naar malwaresites die phishing-elementen bevatten. In plaats van uitvoerbare bestanden te leveren, proberen de criminelen de gebruikers te misleiden om hun accountgegevens in te voeren op bedrieglijke sites. De criminelen nemen meestal de grafische en tekstelementen van webservices en sociale netwerken die tot de meest bezochte sites behoren. In de afgelopen jaren is dit soort oplichting zo geavanceerd geworden dat het soms moeilijk is om de nep van de legitieme service te onderscheiden. De criminelen leggen niet alleen bijna dezelfde visuele identiteit op, maar onderteken ook de beveiligingscertificaten en breng een veilige verbinding tot stand met referenties die een opvallende gelijkenis vertonen met de echte echte.
JenX Botnet-infectiemogelijkheden
De onderzoekers merken op dat het botnet bijzonder gevaarlijk is omdat het een geavanceerde stealth beschermingsmodule die tot doel heeft de dreiging van beveiligingssoftware en analyse te verbergen. Dergelijke technieken zijn ook gebundeld in geavanceerde ransomware-samples waarbij de infectie-engine uitkijkt naar eventuele sandbox- of foutopsporingsomgevingen, virtuele machines en anti-virus producten. Ze kunnen worden uitgeschakeld of verwijderd. De virussen kunnen ook worden geïnstrueerd zichzelf te verwijderen als ze de beveiligingsbescherming niet kunnen omzeilen. Dergelijke stappen kunnen ook via scriptopdrachten in het JenX-botnet worden geïntegreerd. De hackers bleken kopieën van de JenX te verspreiden die compatibel zijn met MIPS, ARM en X86, de meest populaire platforms.
De hacker-operators proberen stilletjes zowel commerciële als privé-servers te infiltreren. Het is interessant om op te merken dat de brede steun van het publiek een belangrijke factor lijkt om te overwegen. De criminele gemeenschap achter de aanvallen lijkt een gecentraliseerde server te gebruiken die fungeert als het primaire malwareplatform. De experts laden de kwetsbaarheden samen met andere aangepaste scripts om de vervolgfasen van infecties uit te voeren.
De geïnfiltreerde sites bieden toegang tot een gemodificeerde Grand Theft Auto San Andreas-server voor de prijs van $16, TeamSpeak-servers worden verkocht voor $9. Als de hackers betalen $20 meer kunnen ze de gecompromitteerde servers gebruiken voor gecontroleerde DDOS-aanvallen tegen afzonderlijke doelen. De rapporten geven aan dat het pieknetwerk grondig kan worden 290 of 300 Gbps. Op dit moment houdt de impact van het JenX-botnet verband met een kleine verstoring onder lokale gamers. Het kan worden gebruikt om Grand Theft Auto-toernooien en groepsspelen te saboteren.
De experts merken op dat als de gecentraliseerde servers kunnen worden uitgeschakeld, het hele platform kan falen. Er wordt aangenomen dat de dreiging in toekomstige versies kan worden bijgewerkt om een gedecentraliseerde aanpak te gebruiken. Er is gevonden dat recente infecties een P2P-benadering hebben die moeilijker te bestrijden is.
We raden alle gebruikers aan hun systemen te scannen op actieve infecties en zichzelf te beschermen tegen inkomende bedreigingen door een hoogwaardige antispyware-oplossing te gebruiken.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: