Los investigadores separan la botnet híbrida Enemybot y exponen peligros reales
Un equipo de investigadores de la firma de seguridad FortiGuard publicó una publicación de blog reciente, que detalla un nuevo malware de botnet. La botnet se centra principalmente en ofrecer ataques de denegación de servicio distribuidos y se llama Enemybot.
Enemybot es una mezcla de Mirai y Gafgyt
Según FortiGuard, Enemybot es una especie de mutante, que toma prestados códigos y módulos tanto de la infame botnet Mirai como de la botnet Bashlite o Gafgyt, con más prestados de este último. El hecho de que ambas familias de botnets tengan su código fuente disponible en línea facilita que los nuevos actores de amenazas tomen la antorcha, mezclen y combinen y produzcan su propia versión, al igual que Enemybot.
El nuevo malware Enemybot está asociado con el actor de amenazas Keksec, una entidad conocida principalmente por realizar ataques de denegación de servicio distribuido (DDoS) anteriores. El nuevo malware ha sido detectado por FortiGuard en ataques dirigidos al hardware del enrutador por parte del fabricante coreano Seowon Intech, así como a los enrutadores D-Link más populares. Los dispositivos Android mal configurados también son susceptibles de ser atacados por el malware.
Los peligros reales de Enemybot han sido expuestos. Para comprometer los dispositivos específicos, Enemybot recurre a una amplia gama de exploits y vulnerabilidades conocidas, incluida la más popular del año pasado: Log4j.
Enemybot apunta a una amplia gama de dispositivos
El malware despliega un archivo en el directorio /tmp, con la extensión .pwned. El archivo .pwned contiene un mensaje de texto simple, burlándose de la víctima y comunicando quiénes son los autores, en este caso, Keksec.
La red de bots Enemybot se dirige a casi todas las arquitecturas de chips que pueda imaginar, desde varias versiones de arm hasta x64 y x86 estándar, bsd y spc.
Una vez implementada, la carga útil de la botnet descarga archivos binarios del servidor C2 y los archivos binarios se utilizan para ejecutar comandos DDoS. El malware también tiene un nivel de ofuscación, incluido el hecho de que su servidor C2 use un dominio .onion.
FortiGuard cree que el malware todavía se está trabajando y mejorando activamente, posiblemente por más de un grupo de actores de amenazas, debido a los cambios detectados en diferentes versiones del mensaje del archivo .pwned.