Investigadores de DroneBL han encontrado signos de un gusano de botnet furtiva basada en routers que apunta a routers y modems DSL.
El gusano, denominado “psyb0t,” ha estado circulando desde al menos Enero de este año, infectando dispositivos vulnerables con Linux embebido tales como el modem ADSL Netcomm NB5 y lanzando ataques de denegación de servicio (DoS) hacia algunos sitios Web.
Algunas características:
- Es el primer gusano de botnet que apunta específicamente a routers y modems DSL
- Contiene código shell para varios dispositivos mipsel (MIPS)
- No apunta ni aPCs ni a servidores
- Usa múltiples estrategias para la explotación, incluyendo combinaciones de usuario-contraseña por fuerza-bruta
- Recolecta usuarios y contraseñas mediante inspección profunda de paquetes
- Puede escanear en busca de servidores phpMyAdmin y MySQL explotables
Según este post del blog de DroneBL, el gusano puede infectar cualquier dispositivo de ruteo mispel con Linux que tenga la interface de administración o sshd o telnetd en una DMZ, el cual tenga un usuario/contraseña débil (incluyendo los dispositivos openwrt/dd-wrt).
El grupo estima que hay unos 100.000 host infectados con este malware.
El autor de este gusano tiene algun conocimiento de programación sofisticada, debido a la naturaleza de este ejecutable.
Te debe actuar de inmediato para detener este gusano antes que crezca demasiado grande.
Nos cruzamos con esta botnet como parte de una investigación de ataques DDoS contra la infraestructura de DroneBL hace dos semanas atrás, y sentimos que esta botnet fue la que inundó DroneBL.
Hay sospechas de que esta sería una prueba de concepto de un proyecto de investigación.
Traducido para blog Segu-info por Raúl Batista
Autor: Ryan Naraine
Fuente: Blogs Zdnet
Relacionado:
Info sobre PSYB0T en ESET, McAfee
Nuevo botnet que infecta módems ADSL y routers
Nuevo malware reconfigura routers
See the original post here:
Gusano de botnet basada en routers se arrastra sigilosamente |