Una versión actualizada de un malware botnet llamado KmsdBot ahora está apuntando a dispositivos de Internet de las cosas (IoT), diversificando simultáneamente sus capacidades y la superficie de ataque.
“El binario ahora incluye soporte para Escaneo Telnet y soporte para más arquitecturas de CPU”, dijo el investigador de seguridad de Akamai, Larry W. Cashdollar. dicho en un análisis publicado este mes.
La última iteración, observada desde el 16 de julio de 2023, se produce meses después de que se supiera que la botnet se ofrece como un servicio de alquiler de DDoS a otros actores de amenazas. El hecho de que se mantenga activamente indica su eficacia en ataques del mundo real.
KmsdBot fue documentado por primera vez por la empresa de seguridad e infraestructura web en noviembre de 2022. Está diseñado principalmente para apuntar a servidores de juegos privados y proveedores de alojamiento en la nube, aunque desde entonces ha puesto sus ojos en algunos sitios educativos del gobierno rumano y españoles.
El malware está diseñado para escanear direcciones IP aleatorias en busca de puertos SSH abiertos y forzar el sistema con una lista de contraseñas descargada de un servidor controlado por el actor. Las nuevas actualizaciones incorporan escaneo Telnet y le permiten cubrir más arquitecturas de CPU que se encuentran comúnmente en dispositivos IoT.
“Al igual que el escáner SSH, el escáner Telnet llama a una función que genera una dirección IP aleatoria”, explicó Cashdollar. “Luego, intenta conectarse al puerto 23 en esa dirección IP. Sin embargo, el escáner Telnet no se detiene en una simple decisión de escuchar/no escuchar el puerto 23; verifica que el búfer de recepción contenga datos”.
El ataque contra Telnet se logra descargando un archivo de texto (telnet.txt) que contiene una lista de contraseñas débiles comúnmente utilizadas y sus combinaciones para una amplia gama de aplicaciones, aprovechando principalmente el hecho de que muchos dispositivos IoT mantienen sus credenciales predeterminadas sin cambios. .
“Las actividades en curso de la campaña de malware KmsdBot indican que los dispositivos IoT siguen siendo frecuentes y vulnerables en Internet, lo que los convierte en objetivos atractivos para construir una red de sistemas infectados”, dijo Cashdollar.
“Desde una perspectiva técnica, la adición de capacidades de escaneo telnet sugiere una expansión en la superficie de ataque de la botnet, lo que le permite apuntar a una gama más amplia de dispositivos. Además, a medida que el malware evoluciona y agrega soporte para más arquitecturas de CPU, representa una amenaza constante. a la seguridad de los dispositivos conectados a Internet.”
About the Author
