22 may. 2018

Wicked-Mirai: nueva variante más agresiva

Expertos de la empresa Fortinet identificaron a esta nueva variante de la famosa botnet Mirai a la que denominaron Wicked-Mirai. Esta nueva variante incluye al menos 3 nuevos exploit en comparación a la versión original.

Usualmente los módulos que están dentro del bot Mirai son 3: Attack, Killer, y Scanner. En el analisis que realizó Fortiguard, esta nueva variante "Wicked" se centró en el mecanismo de distribución del malware. La versión original de Mirai utilizaba intentos de fuerza bruta para ganar acceso a los dispositivos Iot, pero la versión nueva viene con algunos exploit ya conocidos para realizar los ataques.

Wicked utiliza los puertos 8080, 8443 80 y 81 para intentar realizar la detección de los dispositivos.
Si la conexión es exitosa este intentará utilizar el exploit y descargar la carga útil.

Dispositivos Objetivos

El exploit que utiliza Wicked depende del puerto en el cual se conectó.

Puerto 8080: Netgear DGN1000 y DGN2200 Routers
Puerto 81: CCTV-DVR
Puerto 8443: Netgear R7000 y R6400
Puerto 80: Invocar Shell de los servidores comprometidos.
Si se realiza la explotación de la vulnerabilidad, este malware descarga un payload desde una página web, en este caso, hxxp://185.246.152.173/exploit/owari.{extension}. Dentro de esa página web, existen varias muestras del botnet Omni, el cual fue aparentemente utilizado en la vulnerabilidad de Gpon CVE-2018-10561.
Encontrar la conexión entre los botnets Wicked, Sora, Owari y Omni nos llevó a una entrevista en abril pasado con un investigador de seguridad que creemos que es el autor de estas variantes de botnet. Básicamente, el autor que usa el pseudo nombre "Wicked" confirmó que es el autor tanto de Sora como de Owari. Cuando se le preguntó sobre el futuro de Sora y Owari, la respuesta de Wicked fue: "SORA es un proyecto abandonado por el momento y seguiré trabajando en OWARI. No verán un tercer proyecto de mí en el corto plazo, ya que continúo expandiendo mis actuales"

Fuente: SeguridadyFirewall

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!