Ha surgido una nueva variante de una botnet de IoT llamada BotenaGo, específicamente señalando los dispositivos DVR con cámara de seguridad Lilin para infectarlos con el malware Mirai.
Doblado «Escáner Lilin» por Nozomi Networks, el ultima versión está diseñado para explotar un niño crítico de dos años vulnerabilidad de inyección de comandos en el firmware del DVR que fue parcheado por la empresa taiwanesa en febrero de 2020.
BotenaGo, documentado por primera vez en noviembre de 2021 por AT&T Alien Labs, está escrito en Golang y presenta más de 30 exploits para vulnerabilidades conocidas en servidores web, enrutadores y otros tipos de dispositivos IoT.
Desde entonces, el código fuente de la red de bots se ha subido a GitHub, por lo que está listo para el abuso por parte de otros actores criminales. «Con solo 2891 líneas de código, BotenaGo tiene el potencial de ser el punto de partida para muchas nuevas variantes y nuevas familias de malware que utilizan su código fuente», dijeron los investigadores este año.
El nuevo malware BotenaGo es el más reciente para explotar vulnerabilidades en dispositivos Lilin DVR después de Chalubo, Fbot y Moobot. A principios de este mes, el Laboratorio de Investigación de Seguridad de Redes de Qihoo 360 (360 Netlab) detalló una botnet DDoS de rápida expansión llamada Fodcha que se ha propagado a través de diferentes fallas N-Day y contraseñas Telnet/SSH débiles.
Un aspecto crucial que distingue a Lillin Scanner de BotenaGo es su dependencia de un programa externo para crear una lista de direcciones IP de dispositivos Lilin vulnerables, y luego explotar la falla antes mencionada para ejecutar código arbitrario de forma remota en el objetivo e implementar cargas útiles de Mirai.
Vale la pena señalar que el malware no puede propagarse como un gusano y solo puede usarse para atacar las direcciones IP proporcionadas como entrada con los binarios de Mirai.
«Otro comportamiento asociado con la botnet Mirai es la exclusión de rangos de IP pertenecientes a las redes internas del Departamento de Defensa de EE. UU. (DoD), el Servicio Postal de EE. UU. (USPS), General Electric (GE), Hewlett-Packard (HP) y otros», dijeron los investigadores.
Al igual que Mirai, la aparición de Lilin Scanner apunta a la reutilización del código fuente fácilmente disponible para generar nuevas ramificaciones de malware.
«Sus autores eliminaron casi todos los más de 30 exploits presentes en el código fuente original de BotenaGo», dijeron los investigadores, y agregaron que «parece que esta herramienta se ha creado rápidamente utilizando el código base del malware BotenaGo».