Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Las botnets FICORA y Kaiten aprovechan las antiguas vulnerabilidades de D-Link para realizar ataques globales
  • Tecnología

Las botnets FICORA y Kaiten aprovechan las antiguas vulnerabilidades de D-Link para realizar ataques globales

teknomers 27 de Aralık de 2024 (Last updated: 27 de Aralık de 2024) 4 minutes read
Las botnets FICORA y Kaiten aprovechan las antiguas vulnerabilidades de


27 de diciembre de 2024Ravie LakshmananAtaque de botnet/DDoS

Los investigadores de ciberseguridad advierten sobre un aumento en la actividad maliciosa que involucra conectar enrutadores D-Link vulnerables a dos botnets diferentes, una variante de Mirai denominada FICORA y una variante de Kaiten (también conocida como Tsunami) llamada CAPSAICIN.

“Estas botnets se propagan con frecuencia a través de vulnerabilidades documentadas de D-Link que permiten a atacantes remotos ejecutar comandos maliciosos a través de una acción GetDeviceSettings en la interfaz HNAP (Protocolo de administración de red doméstica)”, dijo Vincent Li, investigador de Fortinet FortiGuard Labs. dicho en un análisis del jueves.

“Esta debilidad de HNAP quedó expuesta por primera vez hace casi una década, con numerosos dispositivos afectados por una variedad de números CVE, incluidos CVE-2015-2051, CVE-2019-10891, CVE-2022-37056y CVE-2024-33112“.

Ciberseguridad

Según los datos de telemetría de la empresa de ciberseguridad, los ataques que involucran a FICORA se han dirigido a varios países a nivel mundial, mientras que los relacionados con CAPSAICIN se dirigieron principalmente a territorios del este de Asia, como Japón y Taiwán. También se dice que la actividad de CAPSAICIN estuvo “intensamente” activa sólo entre el 21 y el 22 de octubre de 2024.

Los ataques de botnet FICORA conducen a la implementación de un script de descarga (“multi”) desde un servidor remoto (“103.149.87[.]69”), que luego procede a descargar la carga útil principal para diferentes arquitecturas de Linux por separado utilizando los comandos wget, ftpget, curl y tftp.

Dentro del malware botnet hay una función de ataque de fuerza bruta que contiene una lista codificada de nombres de usuarios y contraseñas. El derivado de Mirai también incluye funciones para realizar ataques de denegación de servicio distribuido (DDoS) utilizando los protocolos UDP, TCP y DNS.

El script de descarga (“bins.sh”) para CAPSAICIN aprovecha una dirección IP diferente (“87.10.220[.]221”), y sigue el mismo enfoque para recuperar la botnet para varias arquitecturas de Linux para garantizar la máxima compatibilidad.

“El malware elimina los procesos de botnet conocidos para garantizar que sea la única botnet que se ejecuta en el host de la víctima”, dijo Li. “‘CAPSAICIN’ establece un socket de conexión con su servidor C2, ‘192.110.247[.]46’ y envía la información del sistema operativo del host de la víctima y el apodo otorgado por el malware al servidor C2”.

Botnets FICORA y Kaiten

Luego, CAPSAICIN espera que se ejecuten más comandos en los dispositivos comprometidos, incluido “PRIVMSG”, un comando que podría usarse para realizar varias operaciones maliciosas como las siguientes:

  • GETIP: obtiene la dirección IP de una interfaz
  • CLEARHISTORY: eliminar el historial de comandos
  • FASTFLUX: inicie un proxy en un puerto en otra IP para una interfaz
  • RNDNICK: aleatoriza el apodo de los hosts de la víctima
  • NICK: cambia el apodo del host de la víctima
  • SERVIDOR – Cambiar servidor de comando y control
  • HABILITAR – Habilitar el bot
  • KILL – Mata la sesión
  • OBTENER – Descargar un archivo
  • VERSIÓN: Solicita la versión del host de la víctima.
  • IRC: reenvía un mensaje al servidor
  • SH – Ejecutar comandos de shell
  • ISH: interactuar con el shell del host de la víctima
  • SHD: ejecuta el comando Shell e ignora las señales
  • INSTALAR: descargue e instale un binario en “/var/bin”
  • BASH: ejecutar comandos usando bash
  • BINUPDATE: actualiza un binario a “/var/bin” mediante get
  • BLOQUEO: elimine la puerta trasera de Telnet y ejecute el malware en su lugar
  • AYUDA: muestra información de ayuda sobre el malware
  • STD: ataque de inundación con cadenas aleatorias codificadas para el número de puerto y el objetivo especificado por el atacante
  • DESCONOCIDO: ataque de inundación UDP con caracteres aleatorios para el número de puerto y el objetivo especificado por el atacante
  • HTTP: ataque de inundación HTTP.
  • HOLD: ataque de inundación de conexión TCP.
  • BASURA: ataque de inundación TCP.
  • BLACKNURSE: ataque BlackNurse, que se basa en el ataque de inundación de paquetes ICMP
  • DNS: ataque de inundación de amplificación de DNS
  • KILLALL – Detén todos los ataques DDoS
  • KILLMYEYEPEEUSINGHOIC – Terminar el malware original

“Aunque las debilidades explotadas en este ataque fueron expuestas y reparadas hace casi una década, estos ataques han permanecido continuamente activos en todo el mundo”, dijo Li. “Es fundamental que todas las empresas actualicen periódicamente el núcleo de sus dispositivos y mantengan un seguimiento exhaustivo”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Edmond Dantés logra escapar de prisión y prepara su venganza
Next: Paris Hilton aparece casi desnuda frente al árbol de Navidad

Related Stories

Prueba Soundcore Liberty 5 Pro / Pro Max: unos auriculares
  • Tecnología

Prueba Soundcore Liberty 5 Pro / Pro Max: unos auriculares innovadores que hacen temblar a los mejores

teknomers 11 de Temmuz de 2026
Pequeños jardines, ¡regocíjense!: este robot cortacésped Mammotion con navegación IA
  • Tecnología

Pequeños jardines, ¡regocíjense!: este robot cortacésped Mammotion con navegación IA 3D tiene un descuento de -200€

teknomers 11 de Temmuz de 2026
Apple dominará ampliamente el mercado de los relojes inteligentes IA
  • Tecnología

Apple dominará ampliamente el mercado de los relojes inteligentes IA en 2026

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

Psicología de las personas que no ven televisión: La psicología dice que las personas que no ven televisión pueden no estar perdiéndose de nada, solo están tratando de pasar su tiempo libre haciendo cosas que realmente aman.

teknomers 11 de Temmuz de 2026
Prueba Soundcore Liberty 5 Pro / Pro Max: unos auriculares
  • Tecnología

Prueba Soundcore Liberty 5 Pro / Pro Max: unos auriculares innovadores que hacen temblar a los mejores

teknomers 11 de Temmuz de 2026
Tour de Francia 2026: Decisión inédita para la 9ª etapa
  • Entretenimiento

Tour de Francia 2026: Decisión inédita para la 9ª etapa debido a la canicule

teknomers 11 de Temmuz de 2026
  • Deporte

Superliga: Hull KR 6-20 Wakefield Trinity – Se acaba la racha ganadora en casa de los Rovers

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.