Una nueva variante de Mirai apodada Miori utiliza protocolos basados ​​en texto para establecer la comunicación con los servidores de comando y control (C&C).

La campaña Miori se identificó en diciembre del año pasado, explotando la vulnerabilidad en el marco de programación ThinkPHP.

Miori apunta a los dispositivos de IoT y los explota aprovechando las vulnerabilidades e integrándolos a la red de botnet para lanzar varios ataques.

Los investigadores consideran que Miori es muy similar al software Mirai Malware y Miori desarrollado para infectar dispositivos vulnerables de IoT y usarlos como plataformas para lanzar un ataque DDoS.

Investigadores del Odio – Campaña Miori

La campaña Miori fue observada por los investigadores de Trend Micro que utilizaron un protocolo basado en texto para establecer la comunicación con C&C en lugar de un protocolo habitual basado en binarios.

Cuando los investigadores intentaron establecer una conexión con el servidor C&C, muestra el siguiente mensaje y finaliza la conexión, lo que indica que «los ciberdelincuentes detrás de la variante desconfían de los métodos habituales de los investigadores de seguridad».

Un análisis posterior reveló que el malware usa un protocolo basado en texto y que el servidor de C&C debería recibir una cadena específica para permitir que cualquiera se conecte si la cadena no preselecciona, muestra el mensaje y finaliza la conexión.

“También descubrimos que utiliza un protocolo para recibir comandos cifrados, que no está presente en las variantes anteriores. Mientras espera estos comandos, analiza simultáneamente los hosts de telnet vulnerables para propagarse «, Trend Micro rEPOR Ted .

Además, contiene comandos cifrados que pueden iniciarse después de ataques que incluyen ataques UDP Flood, TCP Flood, terminación de ataque y comandos de terminación de proceso.

Al igual que otras variantes de Mirai, utiliza el cifrado XOR para cifrar los datos de configuración y el método de propagación sigue siendo el mismo que otras variantes de Mirai.

Escanea en busca de los hosts vulnerables y envía los detalles de IP al servidor de C&C, más tarde el servidor de C&C envía el malware y ejecuta scripts maliciosos en el host. Además, el código fuente se ha vendido en foros clandestinos por US $ 110.

Fuente: gbhackers.com

Compartir