Botnet InfectedSlurs

Una botnet de malware descubierta recientemente, 'InfectedSlurs', está aprovechando dos vulnerabilidades de día cero para la ejecución remota de código (RCE) para comprometer enrutadores y dispositivos de grabación de video (NVR). Este software amenazador toma el control de los dispositivos infectados, incorporándolos a un enjambre DDoS (Denegación de Servicio Distribuido), probablemente alquilado para obtener ganancias financieras. Los analistas sugieren que los primeros signos de actividad de la botnet se remontan a finales de 2022, pero se descubrió por primera vez en octubre de 2023.

La botnet InfectedSlurs había logrado permanecer bajo el radar

Los analistas detectaron un comportamiento sospechoso que involucraba sondas de baja frecuencia que intentaban la autenticación a través de solicitudes POST, seguidas de un intento de inyección de comandos. Utilizando los datos disponibles, los investigadores realizaron un análisis exhaustivo en Internet e identificaron que los dispositivos afectados estaban asociados con un fabricante de NVR específico. Sus hallazgos indicaron que la botnet explota una vulnerabilidad de ejecución remota de código (RCE) no reportada para obtener acceso no autorizado al dispositivo.

Tras una inspección más cercana, se reveló que el malware aprovecha las credenciales predeterminadas que se encuentran en los manuales del proveedor de varios productos NVR. Utiliza estas credenciales para instalar un cliente bot y realizar otras acciones maliciosas. Profundizando en la investigación, se descubrió que la botnet también apunta a un enrutador LAN inalámbrico ampliamente utilizado, popular entre usuarios domésticos y hoteles. Este enrutador es susceptible a otra falla RCE de día cero explotada por el malware para sus actividades.

InfectedSlurs muestra pequeñas mejoras con respecto a Mirai

El malware identificado, denominado 'InfectedSlurs' por los investigadores, obtuvo su nombre por la utilización de lenguaje ofensivo presente en los dominios de comando y control (C2, C&C) y cadenas codificadas. La infraestructura C2, que también parece facilitar las operaciones de HailBot, muestra una concentración notable. Esta amenaza se identifica como una variante de JenX Mirai. Además, una investigación descubrió una cuenta de Telegram asociada con el grupo, aunque desde entonces la cuenta ha sido eliminada.

El usuario detrás de la cuenta compartió capturas de pantalla que revelan cerca de diez mil bots que utilizan el protocolo Telnet y 12.000 bots adicionales dirigidos a tipos/marcas de dispositivos específicos como 'Vacron', 'ntel' y 'UTT-Bots'.

Tras el análisis, se identificaron modificaciones mínimas del código en comparación con el Mirai Botnet original, lo que indica que InfectedSlurs opera como una herramienta DDoS autopropagante. Admite ataques que emplean inundaciones de solicitudes SYN, UDP y HTTP GET.

Al igual que Mirai, InfectedSlurs carece de un mecanismo de persistencia. Como no hay un parche disponible para los dispositivos afectados, se puede interrumpir temporalmente la botnet reiniciando el NVR y los dispositivos enrutadores.