19 nov. 2018

Botnet IoT infecta 100.000 routers para enviar spam

Una nueva botnet IoT, bautizada como BCMUPnP_Hunter, ha sido descubierta infectando routers para enviar correos electrónicos de spam.

Los investigadores de seguridad Hui Wang y RootKiter han descubierto recientemente una botnet IoT que infecta routers de diferentes marcas con el objetivo de enviar correos eléctronicos de spam a diferentes servicios de correo electrónico, como Hotmail, Outlook o Yahoo.

Esta botnet se ha bautizado con el nombre de BCMUPnP_Hunter debido al modo con el que infecta los routers. Para infectar a los routers, este malware hace uso de una vulnerabilidad de seguridad en la implementación del protocolo UPnP en los chips BroadCom encontrada en octubre de 2013. Esta vulnerabilidad de seguridad es del tipo "format string", por lo que permite al atacante explotar dicha vulnerabilidad para obtener y modificar información contenida en la memoria del proceso.

Concretamente, esta vulnerabilidad se encuentra en la función SetConnectionType, que es accesible a través de una petición SOAP.
Petición SOAP para la función SetConnectionType

Si en el parámetro NewConnectionType se incluye una cadena de texto que incluya un especificador de formato (para las funciones de formato en C suelen venir precedidos por "%", como por ejemplo: %s, %d, etc.), entonces ese especificador de formato será interpretado y utilizado por el programa. Esto permite a un atacante obtener información contenida en la memoria o modificarla (usando el especificador de formato "%n"). Por ejemplo, si enviamos "%x,%x" como valor para el parámetro NewConnectionType, recibiremos como respuesta los dos primeros elementos en la pila de memoria del proceso en formato hexadecimal.

Después de realizar un escaneo, los investigadores han detectado 116 tipos diferentes de dispositivos infectados por este malware. Puede consultarse la lista completa de dispositivos detectados en la publicación de su blog.

Fuente: Hispasec

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!