Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Português Русский
Threat Database Botnets Botnet ZHtrap

Botnet ZHtrap

Por GoldSparrow en Botnets
Traducir a:
Español

Aunque el código fuente de la infame botnet Mirai se filtró al público en 2016, los ciberdelincuentes todavía están usando fragmentos o inspirándose en ellos. Un ejemplo de este último es el ZHtrap Botnet descubierto por los investigadores de 360 Netlab.

El malware puede apoderarse de una amplia gama de dispositivos y asimilarlos a la estructura de la botnet. El propósito principal de la botnet parece ser llevar a cabo ataques DDoS (denegación de servicio distribuida), pero un canal de puerta trasera creado en los dispositivos comprometidos también permite que el actor de amenazas suelte cargas útiles de malware adicionales. La infraestructura de Comando y Control de la campaña emplea un servidor alojado en la red TOR y un proxy TOR que enmascara el tráfico de comunicación anormal generado por la botnet.

Para su distribución, ZHtrap aprovecha cuatro vulnerabilidades conocidas que le permiten infectar enrutadores, DVR y dispositivos de red UPnP. Más específicamente, ZHtrap va tras Netgear DGN1000, MVPower DVR, puntos finales Realtek SDK Miniigd UPnP SOAP y numerosos dispositivos CCTV-DVR. Los dispositivos con contraseñas Telnet débiles también serán atacados.

La amenaza de malware se asegurará de que sea la única carga útil maliciosa que se ejecuta en el dispositivo específico a través de una lista blanca que incluye solo los procesos que ya se han iniciado en el dispositivo. Se bloquearán todos los intentos de ejecutar comandos adicionales.

Sin embargo, el aspecto que más distingue a ZHtrap de la mayoría de otras botnets es su capacidad para convertir los dispositivos comprometidos en honeypots. El término honeypot se utiliza en el campo de la ciberseguridad para abordar una herramienta que actúa como cebo para los ataques de malware mediante la recopilación de escaneos, muestras de código y posibles exploits. ZHtrap usa una técnica similar pero invierte su propósito. Indica a los dispositivos capturados que comiencen a escuchar una lista de 23 puertos. Todas las direcciones IP que intenten conectarse a través de estos puertos serán alimentadas a través del módulo de escaneo del malware como nuevos objetivos potenciales.

Tendencias

Mas Visto

Cargando...