Los investigadores de ciberseguridad advierten sobre los riesgos continuos planteados por un malware distribuido de denegación de servicio (DDoS) conocido como Xorddos, con el 71.3 por ciento de los ataques entre noviembre de 2023 y febrero de 2025 dirigidos a los Estados Unidos.
“De 2020 a 2023, el Troyano Xorddos ha aumentado significativamente en la prevalencia”, dijo el investigador de Cisco Talos, Joey Chen, en un estudio del jueves.
“Esta tendencia no solo se debe a la distribución general generalizada del troyano Xorddos, sino todavía a un aumento en las solicitudes de DNS maliciosas vinculadas a su infraestructura de comando y control (C2).
Casi el 42 por ciento de los dispositivos comprometidos se encuentran en los Estados Unidos, seguidos por Japón, Canadá, Dinamarca, Italia, Marruecos y China.
Xorddos es un malware acertadamente conocido que tiene un historial de sorprendentes sistemas de Linux durante más de una lapso. En mayo de 2022, Microsoft informó un aumento significativo en la actividad de Xorddos, con las infecciones allanando el camino para el malware minero de criptomonedas como el tsunami.
La vía de entrada auténtico principal implica la realización de ataques de fuerza bruta de Shell (SSH) segura para obtener credenciales SSH válidas y luego descargar e instalar el malware en IoT indefenso y otros dispositivos conectados a Internet.
Al establecer con éxito un punto de apoyo, el malware establece la persistencia utilizando un script de inicialización integrado y un trabajo cron para que se inicie automáticamente al inicio del sistema. Además utiliza la esencia XOR “BB2FA36AAA9541F0” para descifrar una configuración presente en sí misma para extraer las direcciones IP necesarias para la comunicación C2.
Talos dijo que observó en 2024 una nueva interpretación del subcontrolador de Xorddos, convocatoria interpretación VIP, y su regulador central correspondiente, unido con un constructor, lo que indica que el producto probablemente se anuncia para la liquidación.
El regulador central es responsable de tener la llave de la despensa múltiples subcontroladores Xorddos y mandar comandos DDOS simultáneamente. Cada uno de estos subtroladores, a su vez, se reúne una botnet de dispositivos infectados.
“La configuración del jerga del regulador de múltiples capas, el constructor de Xorddos y la utensilio de enlace del regulador sugieren fuertemente que los operadores son individuos de acento china”, dijo Chen.
