Investigadores de ciberseguridad han publicado una nueva botnet derivada de Mirai que apunta a dispositivos expuestos a Internet que se autoidentifican como xlabs_v1 y ejecutan Android Debug Bridge (ADB), lo que les permite unirse a la red para realizar ataques distribuidos de denegación de servicio (DDoS).
Hunt.io, que detalló el malware, dijo que fue descubierto después de identificar un directorio expuesto en un servidor con dirección IP 176.65.139(.)44 alojado en los Países Bajos sin requerir autenticación.
Hunt.io agregó que el malware admite «21 variantes de inundación en TCP, UDP y protocolos sin procesar, incluidos RakNet y UDP estilo OpenVPN, que pueden eludir las protecciones DDoS de nivel de consumidor», y se ofrece como un servicio de alquiler de DDoS diseñado para apuntar a servidores de juegos y hosts de Minecraft.
Lo más destacado de xlabs_v1 es que explora dispositivos Android que ejecutan servicios ADB expuestos en el puerto TCP 5555. Esto significa que los decodificadores de TV, decodificadores, televisores inteligentes y cualquier dispositivo que venga con una herramienta habilitada de forma predeterminada podrían ser un objetivo potencial.
Además de los APK de Android (‘boot.apk’), el malware admite compilaciones de múltiples arquitecturas que cubren ARM, MIPS, x86-64 y ARC, lo que indica que también está diseñado para apuntar a enrutadores residenciales y hardware de Internet de las cosas (IoT).
El resultado fue una botnet dedicada diseñada para recibir comandos de ataque (‘xlabslover(.)lol’) desde el panel del operador, generar grandes cantidades de tráfico basura bajo demanda y, específicamente, dirigir ataques DDoS contra servidores de juegos.
«El bot es un ARMv7 vinculado estáticamente, que se ejecuta en firmware Android despojado y se entrega a través de un shell ADB pegado a /data/local/tmp», explicó Hunt.io. «La lista de nueve cargas útiles del operador está diseñada para decodificadores de TV Android, decodificadores, televisores inteligentes y hardware ARM de grado IoT que se envía con ADB habilitado».
Existe evidencia de que los servicios de alquiler de DDoS presentan precios basados en el ancho de banda. Esta evaluación se basa en la presencia de rutinas de creación de perfiles de ancho de banda que recopilan el ancho de banda y la ubicación geográfica de la víctima.
Este componente abre 8.192 sockets TCP paralelos al servidor Speedtest geográficamente más cercano, los satura durante 10 segundos e informa la velocidad de transferencia de datos medida al panel. Según Hunt.io, el objetivo es asignar cada dispositivo comprometido a un nivel de precios para los clientes que pagan.
El aspecto importante a tener en cuenta aquí es que la botnet existe después de transmitir información de ancho de banda en megabits por segundo (Mbps). Esto significa que sin un mecanismo de persistencia, los operadores tendrían que reinfectar el dispositivo dos veces a través del mismo canal de explotación ADB.
«Este bot no se escribe en ubicaciones de persistencia del disco, no modifica scripts de inicio, no crea unidades systemd ni registra trabajos cron», dijo Hunt.io. «Este diseño sugiere que los operadores ven el sondeo del ancho de banda como una operación poco frecuente de actualización de niveles de flota en lugar de una verificación previa al vuelo para cada ataque, y el ciclo resultante de salida y reinfección es la intención del diseño».
xlabs_v1 también tiene un subsistema «asesino» que elimina a los competidores, permitiéndole apoderarse de todo el ancho de banda ascendente del dispositivo víctima y usarlo para realizar ataques DDoS. Actualmente se desconoce quién está detrás del malware, pero el atacante ha sido apodado «Tadashi» debido a las cadenas cifradas con ChaCha20 incrustadas en todas las versiones del bot.
Un análisis más detallado de la infraestructura coubicada reveló la presencia del kit de herramientas de minería VLTRig Monero en el host 176.65.139(.)42. Sin embargo, actualmente no está claro si estas dos actividades son obra del mismo atacante.
«Desde una perspectiva de delincuencia comercial, xlabs_v1 es de nivel medio; más sofisticado que el típico script kiddie Mirai fork (…) pero no tan sofisticado como el nivel superior de las operaciones comerciales de alquiler de DDoS», dijo Hunt.io. «Estos operadores compiten en precio y variedad de ataques, en lugar de en sofisticación tecnológica. Los dispositivos IoT de consumo, los enrutadores domésticos y los operadores de servidores de juegos pequeños son el objetivo».
Este desarrollo sigue a la revelación de Darktrace de que un atacante desconocido atacó una instancia de Jenkins mal configurada intencionalmente dentro de una red de honeypot para implementar una botnet DDoS descargada desde un servidor remoto (‘103.177.110(.)202’) mientras tomaba medidas para evadir la detección.
«La existencia de técnicas DoS específicas para los juegos resalta aún más que la industria del juego continúa siendo un objetivo generalizado para los ciberatacantes», dijo la compañía. «Es probable que esta botnet ya se esté utilizando contra servidores de juegos y sirve como recordatorio a los operadores de servidores de que existen medidas de mitigación adecuadas».
Source link
