Una versión actualizada de un malware botnet llamado KmsdBot ahora está apuntando a dispositivos del Internet de las cosas (IoT), ramificando simultáneamente sus capacidades y la superficie de ataque.
“El binario ahora incluye soporte para escaneo Telnet y soporte para más arquitecturas de CPU”, dijo el investigador de seguridad de Akamai Larry W. Cashdollar en un análisis publicado este mes.
La última iteración, observada desde el 16 de julio de 2023, se produce meses después de que se supiera que la botnet se ofrece como un servicio DDoS de alquiler a otros actores de amenazas. El hecho de que se mantenga activamente indica su efectividad en ataques del mundo real.
KmsdBot fue documentado por primera vez por la compañía de infraestructura web y seguridad en noviembre de 2022. Está diseñado principalmente para apuntar a servidores de juegos privados y proveedores de alojamiento en la nube, aunque desde entonces ha puesto sus ojos en algunos sitios educativos del gobierno rumano y español.
El malware está diseñado para escanear direcciones IP aleatorias en busca de puertos SSH abiertos y fuerza bruta del sistema con una lista de contraseñas descargada de un servidor controlado por actores. Las nuevas actualizaciones incorporan el escaneo Telnet y le permiten cubrir más arquitecturas de CPU que se encuentran comúnmente en los dispositivos IoT.
“Al igual que el escáner SSH, el escáner Telnet llama a una función que genera una dirección IP aleatoria”, explicó Cashdollar. “Luego, intenta conectarse al puerto 23 en esa dirección IP. Sin embargo, el escáner Telnet no se detiene en una simple decisión de puerto 23 está escuchando / no escuchando; Verifica que el búfer receptor contiene datos”.
El ataque contra Telnet se logra descargando un archivo de texto (telnet.txt) que contiene una lista de contraseñas débiles de uso común y sus combinaciones para una amplia gama de aplicaciones, aprovechando principalmente el hecho de que muchos dispositivos IoT tienen sus credenciales predeterminadas sin cambios.
“Las actividades en curso de la campaña de malware KmsdBot indican que los dispositivos IoT siguen siendo frecuentes y vulnerables en Internet, lo que los convierte en objetivos atractivos para construir una red de sistemas infectados”, dijo Cashdollar.
“Desde una perspectiva técnica, la adición de capacidades de escaneo telnet sugiere una expansión en la superficie de ataque de la botnet, lo que le permite apuntar a una gama más amplia de dispositivos. Además, a medida que el malware evoluciona y agrega soporte para más arquitecturas de CPU, representa una amenaza continua para la seguridad de los dispositivos conectados a Internet”.
