Dark Mirai Botnet

A pesar de que la botnet Mirai se cerró hace años, su legado sigue vivo. Después del lanzamiento del código fuente de la botnet, muchos ciberdelincuentes lo utilizaron como base para crear sus propias versiones del malware. Una de las ramas de Mirai que todavía está activa es rastreada por la comunidad de seguridad de información como Dark Mirai (también conocido como MANGA). Y según los investigadores de Fortinet que están monitoreando las actividades de esta botnet, sus operadores continúan equipándola con nuevas vulnerabilidades para explotar.

Uno de los últimos en ser agregado al Dark Mirai impacta una línea de enrutadores domésticos populares TP-Link. Más específicamente, el modelo afectado es TL-WR840N EU V5 lanzado en 2017. La vulnerabilidad particular: CVE-2021-41653 permite que un usuario autenticado ejecute comandos en el dispositivo debido a una variable de 'host' vulnerable. Cabe señalar que TP-Link abordó el problema con el lanzamiento de una actualización de firmware el 12 de noviembre de 2021, por lo que los piratas informáticos Dark Mirai confían en que los usuarios no actualicen sus dispositivos y sigan siendo vulnerables.

Al descubrir un dispositivo adecuado, los atacantes aprovecharán la vulnerabilidad CVE-2021-41653 para descargar y luego ejecutar un script llamado 'tshit.sh'. Este script es responsable de obtener las cargas útiles principales a través de dos solicitudes. Debido al hecho de que los atacantes deben estar autenticados, los usuarios que todavía usan las credenciales predeterminadas para su enrutador son los que tienen más probabilidades de verse comprometidos.

Cuando se implemente, Dark Mirai identificará la arquitectura del enrutador infectado y luego procederá a buscar una carga útil adecuada. Luego, la amenaza aislará el dispositivo de una posible infiltración de otras botnets de la competencia al cerrar varios puertos comúnmente atacados. El Dark Mirai permanecerá inactivo, esperando los comandos de su servidor de Comando y Control (C&C).