el más reciente

― Advertisement ―

Relacionada

TikTok se apaga en los EE. UU. cuando la prohibición federal...

La popular red social para compartir vídeos TikTok dejará de funcionar oficialmente en los Estados Unidos en 2025, ya que la prohibición federal de...
spot_img
InicioTecnologíaLas botnets FICORA y Kaiten aprovechan las antiguas vulnerabilidades de D-Link para...

Las botnets FICORA y Kaiten aprovechan las antiguas vulnerabilidades de D-Link para realizar ataques globales

Los investigadores de ciberseguridad advierten sobre un aumento en la actividad maliciosa que involucra conectar enrutadores D-Link vulnerables a dos botnets diferentes, una cambio de Mirai denominada FICORA y una cambio de Kaiten (además conocida como Tsunami) señal CAPSAICIN.

«Estas botnets se propagan con frecuencia a través de vulnerabilidades documentadas de D-Link que permiten a atacantes remotos ejecutar comandos maliciosos a través de una movimiento GetDeviceSettings en la interfaz HNAP (Protocolo de despacho de red doméstica)», dijo Vincent Li, investigador de Fortinet FortiGuard Labs, en un investigación del jueves.

«Esta pasión de HNAP quedó expuesta por primera vez hace casi una período, con numerosos dispositivos afectados por una variedad de números CVE, incluidos CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 y CVE-2024-33112».

Según los datos de telemetría de la empresa de ciberseguridad, los ataques que involucran a FICORA se han dirigido a varios países a nivel mundial, mientras que los relacionados con CAPSAICIN se dirigieron principalmente a territorios del este de Asia, como Japón y Taiwán. Además se dice que la actividad de CAPSAICIN estuvo «intensamente» activa sólo entre el 21 y el 22 de octubre de 2024.

Los ataques de botnet de FICORA conducen a la implementación de un script de descarga («multi») desde un servidor remoto («103.149.87(.)69»), que luego procede a descargar la carga útil principal para diferentes arquitecturas de Linux por separado usando wget, ftpget. Comandos , curl y tftp.

Adentro del malware botnet hay una función de ataque de fuerza bruta que contiene una cinta codificada de nombres de usuarios y contraseñas. El derivado de Mirai además incluye funciones para realizar ataques de denegación de servicio distribuido (DDoS) utilizando los protocolos UDP, TCP y DNS.

Leer  Cómo Reco descubre la IA en la sombra en SaaS

El script de descarga («bins.sh») para CAPSAICIN aprovecha una dirección IP diferente («87.10.220(.)221») y sigue el mismo enfoque para recuperar la botnet para varias arquitecturas de Linux para respaldar la máxima compatibilidad.

«El malware elimina los procesos de botnet conocidos para respaldar que sea la única botnet que se ejecuta en el host de la víctima», dijo Li. «‘CAPSAICIN’ establece un socket de conexión con su servidor C2, ‘192.110.247(.)46’, y envía la información del sistema operante del host de la víctima y el apodo regalado por el malware al servidor C2».

Botnets FICORA y Kaiten

Luego, CAPSAICIN paciencia que se ejecuten más comandos en los dispositivos comprometidos, incluido «PRIVMSG», un comando que podría estilarse para realizar varias operaciones maliciosas como las siguientes:

  • GETIP: obtiene la dirección IP de una interfaz
  • CLEARHISTORY: eliminar el historial de comandos
  • FASTFLUX: inicie un proxy en un puerto en otra IP para una interfaz
  • RNDNICK: aleatoriza el apodo de los hosts de la víctima
  • NICK: cambia el apodo del host de la víctima
  • SERVIDOR – Cambiar servidor de comando y control
  • HABILITAR – Habilitar el bot
  • KILL – Mata la sesión
  • OBTENER – Descargar un archivo
  • VERSIÓN: Solicita la interpretación del host de la víctima.
  • IRC: reenvía un mensaje al servidor
  • SH – Ejecutar comandos de shell
  • ISH: interactuar con el shell del host de la víctima
  • SHD: ejecuta el comando Shell e ignora las señales
  • INSTALAR: descargue e instale un binario en «/var/bin»
  • BASH: ejecutar comandos usando bash
  • BINUPDATE: actualiza un binario a «/var/bin» mediante get
  • BLOQUEO: elimine la puerta trasera de Telnet y ejecute el malware en su ocupación
  • AYUDA: muestra información de ayuda sobre el malware
  • STD: ataque de inundación con cadenas aleatorias codificadas para el número de puerto y el objetivo especificado por el atacante
  • DESCONOCIDO: ataque de inundación UDP con caracteres aleatorios para el número de puerto y el objetivo especificado por el atacante
  • HTTP: ataque de inundación HTTP.
  • HOLD: ataque de inundación de conexión TCP.
  • BASURA: ataque de inundación TCP.
  • BLACKNURSE: ataque BlackNurse, que se plinto en el ataque de inundación de paquetes ICMP
  • DNS: ataque de inundación de amplificación de DNS
  • KILLALL – Detén todos los ataques DDoS
  • KILLMYEYEPEEUSINGHOIC – Terminar el malware llamativo
Leer  Nueva estafa de inversión aprovecha la inteligencia artificial y los anuncios en redes sociales para atacar a las víctimas en todo el mundo

«Aunque las debilidades explotadas en este ataque fueron expuestas y reparadas hace casi una período, estos ataques han permanecido continuamente activos en todo el mundo», dijo Li. «Es fundamental que todas las empresas actualicen periódicamente el núcleo de sus dispositivos y mantengan un seguimiento intensivo».

El más popular

spot_img