Shellbot Botnet apunta a dispositivos Linux y Android

botnet

Según advierte Trend Micro, un robot IRC el cual ha sido creado con Perl apunta a dispositivos de Internet de las cosas (IoT) y servidores Linux, también puede afectar a los sistemas Windows y dispositivos Android.

Conocido como Shellbot, el malware está siendo distribuido por un grupo llamado Outlaw, el cual recientemente comprometió los servidores FTP de una institución de arte japonesa y un sitio del gobierno de Bangladesh. Los piratas informáticos vincularon los servidores comprometidos a un clúster de alta disponibilidad para alojar a un bouncer IRC y controlar la red de bots.

Anteriormente, la red de bots se estaba distribuyendo a través de una vulnerabilidad dirigida a ShellShock, de ahí su nombre. El mes pasado, IBM observó ataques dirigidos a la vulnerabilidad Drupalgeddon2 (CVE-2018-7600) para distribuir la red de bots.

Investigadores de seguridad de Trend Micro investigaron, sin embargo, aprovecharon hosts previamente obligados por la fuerza bruta para fines de distribución. El bot fue observado apuntando a dispositivos Ubuntu y Android.

Observando el tráfico de comando y control (C&C) de la botnet, los investigadores de seguridad encontraron la información del canal IRC y descubrieron alrededor de 142 hosts en el canal en la primera infección.

Para infectar hosts, el malware inicialmente ejecuta un comando en el objetivo, esto con el propósito de verificar que acepta comandos de la interfaz de línea de comandos (CLI). A continuación, el directorio de trabajo se cambia a "/ tmp" y la carga útil descargada se ejecuta con el intérprete Perl. La carga útil se elimina en el paso final.

Una vez que la puerta trasera de Shellbot esté funcionando en el sistema infectado, el administrador del canal IRC puede enviar comandos al host, para realizar un escaneo de puertos y varias formas de denegación de servicio distribuido (DDoS), para descargar un archivo, obtener información sobre otros o envíe información del sistema operativo (OS) y una lista de ciertos procesos en ejecución.

Los investigadores de seguridad también descubrieron que los atacantes a menudo modificaban el contenido de los archivos alojados en el servidor de C&C. La modificación, eliminación y adición de archivos se realizó principalmente durante el día en horario de Europa Central / CET, pero nunca de noche o los fines de semana.

El uso de un bot IRC no es una táctica novedosa, especialmente porque el código utilizado en estos ataques está disponible en línea, señala Trend Micro. La operación estaba dirigida a grandes empresas, pero el grupo no se ha involucrado en ataques generalizados, señalan los investigadores de seguridad.

Síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila