Microsoft detecta un aumento masivo en la actividad del malware Linux XorDDoS

Un malware sigiloso y modular que se usa para piratear dispositivos Linux y construir una red de bots DDoS ha experimentado un aumento masivo del 254 % en la actividad durante los últimos seis meses, como reveló hoy Microsoft.

Este malware (activo desde al menos  2014 ) se conoce como XorDDoS (o XOR DDoS) debido a su uso de encriptación basada en XOR cuando se comunica con servidores de comando y control (C2) y se emplea para lanzar denegación de servicio distribuida. (DDoS) ataques.

Como reveló la compañía, el éxito de la botnet probablemente se deba a su uso extensivo de varias tácticas de evasión y persistencia que le permiten permanecer sigiloso y difícil de eliminar.

"Sus capacidades de evasión incluyen ofuscar las actividades del malware, evadir los mecanismos de detección basados ​​en reglas y la búsqueda de archivos maliciosos basada en hash, así como el uso de técnicas anti-forenses para romper el análisis basado en árboles de procesos", dijo Microsoft 365 Defender Research  Team .

"Observamos en campañas recientes que XorDdos oculta actividades maliciosas del análisis al sobrescribir archivos confidenciales con un byte nulo".

XorDDoS es conocido por apuntar a una multitud de arquitecturas de sistemas Linux, desde ARM (IoT) hasta x64 (servidores), y comprometer a los vulnerables en ataques de fuerza bruta SSH.

Para propagarse a más dispositivos, utiliza un script de shell que intentará iniciar sesión como root utilizando varias contraseñas contra miles de sistemas expuestos a Internet hasta que finalmente encuentre una coincidencia.


Además de lanzar ataques DDoS, los operadores del malware usan la red de bots XorDDoS para instalar rootkits, mantener el acceso a los dispositivos pirateados y, probablemente, lanzar cargas útiles maliciosas adicionales.

"Descubrimos que los dispositivos infectados primero con XorDdos luego se infectaron con malware adicional, como la puerta trasera Tsunami, que implementa aún más el minero de monedas XMRig", agregó Microsoft.

"Si bien no observamos que XorDdos instalara y distribuyera directamente cargas útiles secundarias como Tsunami, es posible que el troyano se aproveche como vector para actividades de seguimiento".

El gran aumento en la actividad de XorDDoS que Microsoft detectó desde diciembre se alinea con un informe de la firma de seguridad cibernética CrowdStrike que decía que  el malware de Linux había experimentado un crecimiento del 35%  durante 2021 en comparación con el año anterior.

XorDDoS, Mirai y Mozi fueron las familias más frecuentes y representaron el 22 % de todos los ataques de malware dirigidos a dispositivos Linux observados en 2021.

De los tres, CrowdStrike dijo que XorDDoS experimentó un notable aumento interanual del 123 %, mientras que Mozi tuvo un crecimiento de actividad explosivo, con diez veces más muestras detectadas en la naturaleza durante el año pasado.

Un  informe de febrero de 2021 de Intezer  también reveló que las familias de malware de Linux aumentaron aproximadamente un 40 % en 2020 en comparación con 2019.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta