Microsoft explica las nuevas funciones del malware Zerobot
El malware Zerobot del que se habla en esta entrada del blog no está relacionado con ZeroBot.ai, un chatbot verbal alimentado por GPT-3.5 que comparte el mismo nombre, y tampoco está relacionado con el robot de transmisión de vídeo impreso en 3D ZeroBot Raspberry Pi Zero, que también comparte el mismo nombre.
Según Microsoft, Zerobot, una botnet única en su especie escrita en Go y distribuida a través de vulnerabilidades de IoT y aplicaciones web, ha añadido nuevas funciones y mecanismos de infección.
Zerobot, según FortiGuard Labs, contiene varios módulos, incluyendo auto-replicación, ataques para varios protocolos y auto-propagación. También utiliza el protocolo WebSocket para comunicarse con su servidor de mando y control.
Microsoft dice que el malware ha alcanzado la versión 1.1 y es capaz de explotar fallos en Apache y Apache Spark para comprometer varios endpoints y luego utilizarlos en ataques. Etiquetó los fallos utilizados para desplegar Zerobot como CVE-2021-42013 y CVE-2022-33891. También mencionó que la capacidad de apuntar a vulnerabilidades en sistemas DVR MiniDVBLinux, sistemas de red Grandstream y la GUI Roxy-WI es una de las características.
Microsoft explica que una vez en el dispositivo, Zerobot inyecta una carga maliciosa que luego intenta descargar varios binarios con el fin de identificar la arquitectura por fuerza bruta. Dependiendo del sistema operativo, la botnet emplea diversos mecanismos de persistencia para mantener el acceso a los dispositivos infectados.
"El malware puede intentar obtener acceso al dispositivo utilizando una combinación de ocho nombres de usuario comunes y 130 contraseñas para dispositivos IoT a través de SSH y telnet en los puertos 23 y 2323 para propagarse a los dispositivos", escribió Microsoft, y agregó que también se han realizado esfuerzos para acceder a los puertos y combinarse con ellos utilizando port-knocking en los puertos 80, 8080, 8888 y 2323.
También cuenta con capacidades adicionales de ataque distribuido de denegación de servicio, como funciones que permiten a los actores de amenazas atacar e inutilizar recursos. Los ataques DDOS de Zerobot que tienen éxito pueden utilizarse para extorsionar el pago de rescates, distraer la atención de otras actividades maliciosas o interrumpir las operaciones.
Según Microsoft, estas capacidades permiten a los agresores atacar diversos recursos y hacerlos inaccesibles. Según el informe, el puerto de destino es personalizable en casi todos los ataques, lo que permite a los agresores que adquieren el malware modificar el ataque a su antojo.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.