{"id":1505686,"date":"2024-12-27T15:42:54","date_gmt":"2024-12-27T15:42:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-botnets-ficora-y-kaiten-aprovechan-las-antiguas-vulnerabilidades-de-d-link-para-realizar-ataques-globales\/"},"modified":"2024-12-27T15:42:59","modified_gmt":"2024-12-27T15:42:59","slug":"las-botnets-ficora-y-kaiten-aprovechan-las-antiguas-vulnerabilidades-de-d-link-para-realizar-ataques-globales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-botnets-ficora-y-kaiten-aprovechan-las-antiguas-vulnerabilidades-de-d-link-para-realizar-ataques-globales\/","title":{"rendered":"Las botnets FICORA y Kaiten aprovechan las antiguas vulnerabilidades de D-Link para realizar ataques globales"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ataque de botnet\/DDoS<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad advierten sobre un aumento en la actividad maliciosa que involucra conectar enrutadores D-Link vulnerables a dos botnets diferentes, una variante de Mirai denominada FICORA y una variante de Kaiten (tambi\u00e9n conocida como Tsunami) llamada CAPSAICIN.<\/p>\n

“Estas botnets se propagan con frecuencia a trav\u00e9s de vulnerabilidades documentadas de D-Link que permiten a atacantes remotos ejecutar comandos maliciosos a trav\u00e9s de una acci\u00f3n GetDeviceSettings en la interfaz HNAP (Protocolo de administraci\u00f3n de red dom\u00e9stica)”, dijo Vincent Li, investigador de Fortinet FortiGuard Labs. dicho<\/a> en un an\u00e1lisis del jueves.<\/p>\n

“Esta debilidad de HNAP qued\u00f3 expuesta por primera vez hace casi una d\u00e9cada, con numerosos dispositivos afectados por una variedad de n\u00fameros CVE, incluidos CVE-2015-2051<\/a>, CVE-2019-10891<\/a>, CVE-2022-37056<\/a>y CVE-2024-33112<\/a>“.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Seg\u00fan los datos de telemetr\u00eda de la empresa de ciberseguridad, los ataques que involucran a FICORA se han dirigido a varios pa\u00edses a nivel mundial, mientras que los relacionados con CAPSAICIN se dirigieron principalmente a territorios del este de Asia, como Jap\u00f3n y Taiw\u00e1n. Tambi\u00e9n se dice que la actividad de CAPSAICIN estuvo “intensamente” activa s\u00f3lo entre el 21 y el 22 de octubre de 2024.<\/p>\n

Los ataques de botnet FICORA conducen a la implementaci\u00f3n de un script de descarga (“multi”) desde un servidor remoto (“103.149.87[.]69”), que luego procede a descargar la carga \u00fatil principal para diferentes arquitecturas de Linux por separado utilizando los comandos wget, ftpget, curl y tftp.<\/p>\n

Dentro del malware botnet hay una funci\u00f3n de ataque de fuerza bruta que contiene una lista codificada de nombres de usuarios y contrase\u00f1as. El derivado de Mirai tambi\u00e9n incluye funciones para realizar ataques de denegaci\u00f3n de servicio distribuido (DDoS) utilizando los protocolos UDP, TCP y DNS.<\/p>\n

El script de descarga (“bins.sh”) para CAPSAICIN aprovecha una direcci\u00f3n IP diferente (“87.10.220[.]221”), y sigue el mismo enfoque para recuperar la botnet para varias arquitecturas de Linux para garantizar la m\u00e1xima compatibilidad.<\/p>\n

“El malware elimina los procesos de botnet conocidos para garantizar que sea la \u00fanica botnet que se ejecuta en el host de la v\u00edctima”, dijo Li. “‘CAPSAICIN’ establece un socket de conexi\u00f3n con su servidor C2, ‘192.110.247[.]46’ y env\u00eda la informaci\u00f3n del sistema operativo del host de la v\u00edctima y el apodo otorgado por el malware al servidor C2”.<\/p>\n

\"Botnets<\/a><\/div>\n

Luego, CAPSAICIN espera que se ejecuten m\u00e1s comandos en los dispositivos comprometidos, incluido “PRIVMSG”, un comando que podr\u00eda usarse para realizar varias operaciones maliciosas como las siguientes:<\/p>\n