Investigadores de ciberseguridad han eminente el telón sobre una botnet sigilosa diseñada para ataques distribuidos de denegación de servicio (DDoS).
Llamado Jesús Cristola botnet se ha anunciado a través de Telegram como un servicio de inquilinato de DDoS desde que apareció por primera vez en 2023. Es capaz de apuntar a una amplia serie de dispositivos de IoT, como enrutadores y puertas de enlace, que abarcan múltiples arquitecturas.
“Construido para la persistencia y la desaparecido visibilidad, Masjesu prefiere una ejecución cuidadosa y discreta a una infección generalizada, evitando deliberadamente rangos de IP bloqueados como los que pertenecen al Área de Defensa (DoD) para respaldar la supervivencia a amplio plazo”, dijo el investigador de seguridad de Trellix Mohideen Abdul Khader F en un documentación del martes.
Vale la pena señalar que la propuesta comercial asimismo se conoce con el nombre de XorBot correcto a su uso de criptográfico basado en XOR para ocultar cadenas, configuraciones y datos de carga útil. Fue documentado por primera vez por el proveedor de seguridad chino NSFOCUS en diciembre de 2023, vinculándolo con un cámara llamado “synmaestro”.
Se descubrió que una iteración posterior de la botnet observada un año luego había anejo 12 exploits diferentes de inyección de comandos y ejecución de código para apuntar a enrutadores, cámaras, DVR y NVR de D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link y Vacron, y obtener golpe original. Además se agregaron nuevos módulos para realizar ataques de inundación DDoS.
“Como comunidad de botnets emergente, XorBot está mostrando un cachas impulso de crecimiento, infiltrándose y controlando continuamente nuevos dispositivos de IoT”, dijo NSFOCUS en noviembre de 2024. “En particular, estos controladores están cada vez más inclinados a utilizar plataformas de redes sociales como Telegram como canales principales para el reemplazo y la promoción, atrayendo ‘clientes’ objetivo a través de actividades promocionales activas iniciales, sentando una pulvínulo sólida para la posterior expansión y crecimiento de la botnet”.
Los últimos hallazgos de Trellix muestran que Masjesu ha comercializado la capacidad de resistir a punta ataques DDoS volumétricos, enfatizando su diversa infraestructura de botnet y su idoneidad para apuntar a redes de entrega de contenido (CDN), servidores de juegos y empresas. Los ataques organizados por la botnet se originan principalmente en Vietnam, Ucrania, Irán, Brasil, Kenia e India, y Vietnam representa casi el 50% del tráfico observado.
Una vez implementado en un dispositivo comprometido, el malware crea y vincula un socket con un puerto TCP codificado (55988) para permitir que el atacante se conecte directamente. Si esta operación rotura, la sujeción de ataque se elimina inmediatamente.
De lo contrario, el malware procede a configurar la persistencia, ignorar las señales relacionadas con la terminación, detener procesos comúnmente utilizados como wget y curl, posiblemente para interrumpir las botnets competidoras, y luego se conecta a un servidor foráneo para tomar comandos de ataque DDoS para ejecutarlos contra objetivos de interés.
Masjesu asimismo se jacta de capacidades de autopropagación, lo que le permite sondear direcciones IP aleatorias en investigación de puertos abiertos e integrar con éxito los dispositivos comprometidos en su infraestructura. Una añadido importante a la tira de objetivos de explotación son los enrutadores Realtek, que se lleva a punta mediante la búsqueda de 52869, un puerto asociado con el demonio miniigd de Realtek SDK. Múltiples botnets DDoS, como JenX y Satori, han acogido el mismo enfoque en el pasado.
“La botnet continúa expandiéndose al infectar una amplia serie de dispositivos IoT en múltiples arquitecturas y fabricantes”, dijo Trellix. “En particular, Masjesu parece evitar apuntar a organizaciones críticas sensibles que podrían ocasionar una atención legítimo o policial significativa, una organización que probablemente prosperidad su capacidad de supervivencia a amplio plazo”.
