Demonbot

Demonbot es el nombre de una botnet y un malware que se utiliza para infectar dispositivos de Internet de las cosas (IoT). El código subyacente de la amenaza se basa en Mirai Botnet , un troyano que infecta dispositivos de IoT cuyo código fuente se divulgó en línea en 2016.

Demonbot busca en la Web dispositivos adecuados y aprovecha la vulnerabilidad de Hadoop para comprometerlos. En la práctica, el malware aprovecha una vulnerabilidad de ejecución de código remoto no autenticado en el módulo YARN (Yet Another Resource Negotiator). Este módulo en particular ha sido utilizado principalmente por organizaciones para la programación de trabajos y la gestión de recursos de clústeres.

Si bien Demonbot se conoce públicamente desde hace bastante tiempo, parece que algunos ciberdelincuentes todavía recurren a él por sus actividades amenazadoras. De hecho, se ha visto un ataque reciente contra dispositivos IoT que lleva una variante de Demonbot junto con otra variante de Mirai Botnet que ha sido desarrollada por Scarface. La campaña está dirigida a un solo puerto, el 60001, mientras que varios otros puertos parecen usarse como desvío o cebo. Según los investigadores, 60001 es un puerto ampliamente utilizado entre los dispositivos de IoT, y la mayoría son las cámaras Defeway, que ocupan más del 90% de todas las cámaras en este puerto.