Clicky

Dos botnets aprovechan antiguas vulnerabilidades de D-Link para realizar ataques globales

Botnet

Llamadas FICORA y Kaiten, utilizan comandos de Linux para implementar malware

Los investigadores de ciberseguridad advierten sobre un aumento en la actividad maliciosa que implica conectar routers D-Link vulnerables a dos diferentes botnets, una variante de Mirai denominada FICORA y una variante de Kaiten (también conocida como Tsunami) llamada CAPSAICIN.

"Estas botnets se propagan frecuentemente a través de vulnerabilidades documentadas de D-Link que permiten a atacantes remotos ejecutar comandos maliciosos a través de una acción GetDeviceSettings en la interfaz HNAP (Protocolo de administración de red doméstica)", dijo en un análisis del jueves el investigador de Fortinet FortiGuard Labs, Vincent Li.

"Esta debilidad de HNAP se expuso por primera vez hace casi una década, con numerosos dispositivos afectados por una variedad de números CVE, incluidos CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 y CVE-2024-33112".

Según los datos de telemetría de la empresa de ciberseguridad, los ataques relacionados con FICORA se han dirigido a varios países del mundo, mientras que los relacionados con CAPSAICIN se han centrado principalmente en territorios del este de Asia, como Japón y Taiwán. También se dice que la actividad de CAPSAICIN fue "intensa" solo entre el 21 y el 22 de octubre de 2024.

Los ataques de botnet FICORA conducen a la implementación de un script de shell de descarga ("multi") desde un servidor remoto ("103.149.87[.]69"), que luego procede a descargar la carga útil principal para diferentes arquitecturas de Linux por separado utilizando los comandos wget, ftpget, curl y tftp.

El malware de la botnet incluye una función de ataque de fuerza bruta que contiene una lista de nombres de usuario y contraseñas codificadas. El derivado de Mirai también incluye funciones para realizar ataques de denegación de servicio distribuido (DDoS) mediante protocolos UDP, TCP y DNS.

El script de descarga ("bins.sh") para CAPSAICIN aprovecha una dirección IP diferente ("87.10.220[.]221") y sigue el mismo enfoque para obtener la botnet para varias arquitecturas de Linux para garantizar la máxima compatibilidad.

"El malware elimina los procesos de botnet conocidos para asegurarse de que sea el único que se ejecuta en el host de la víctima", dijo Li. "'CAPSAICIN' establece un socket de conexión con su servidor C2, '192.110.247[.]46', y envía la información del sistema operativo del host de la víctima y el apodo dado por el malware al servidor C2 (de comando y control)".

"Aunque las debilidades explotadas en este ataque habían sido expuestas y reparadas hace casi una década, estos ataques han permanecido activos de forma continua en todo el mundo", afirmó Li. "Es fundamental que todas las empresas actualicen periódicamente el núcleo de sus dispositivos y mantengan un seguimiento exhaustivo".

Jesus_Caceres