Nueva variante de malware BotenaGo dirigida a dispositivos DVR

Ha surgido una nueva variante de una botnet de IoT llamada BotenaGo, específicamente señalando los dispositivos DVR con cámara de seguridad Lilin para infectarlos con el malware Mirai.

Apodado " Lilin Scanner " por Nozomi Networks, la última versión está diseñada para explotar una vulnerabilidad de inyección de comando crítica de dos años en el firmware del DVR que fue reparada por la compañía taiwanesa en febrero de 2020.

BotenaGo , documentado por primera vez en noviembre de 2021 por AT&T Alien Labs, está escrito en Golang y presenta más de 30 exploits para vulnerabilidades conocidas en servidores web, enrutadores y otros tipos de dispositivos IoT.

Desde entonces, el código fuente de la red de bots se ha subido a GitHub, por lo que está listo para el abuso por parte de otros actores criminales. "Con solo 2891 líneas de código, BotenaGo tiene el potencial de ser el punto de partida para muchas nuevas variantes y nuevas familias de malware que utilizan su código fuente", dijeron los investigadores este año.

El nuevo malware BotenaGo es el último en explotar vulnerabilidades en los dispositivos Lilin DVR después de Chalubo, Fbot y Moobot. A principios de este mes, el Laboratorio de Investigación de Seguridad de Redes de Qihoo 360 (360 Netlab) detalló una botnet DDoS de rápida expansión llamada Fodcha que se propaga a través de varias fallas N-Day, incluida la de Lilin, y contraseñas Telnet/SSH débiles.


Un aspecto crucial que distingue a Lillin Scanner de BotenaGo es su dependencia de un programa externo para crear una lista de direcciones IP de dispositivos Lilin vulnerables, y luego explotar la falla antes mencionada para ejecutar código arbitrario de forma remota en el objetivo e implementar cargas útiles de Mirai.

Vale la pena señalar que el malware no puede propagarse como un gusano y solo puede usarse para atacar las direcciones IP proporcionadas como entrada con los binarios de Mirai.

"Otro comportamiento asociado con la botnet Mirai es la exclusión de rangos de IP pertenecientes a las redes internas del Departamento de Defensa de EE. UU. (DoD), el Servicio Postal de EE. UU. (USPS), General Electric (GE), Hewlett-Packard (HP) y otros", dijeron los investigadores.

Al igual que Mirai, la aparición de Lilin Scanner apunta a la reutilización del código fuente fácilmente disponible para generar nuevas ramificaciones de malware.

"Sus autores eliminaron casi todos los más de 30 exploits presentes en el código fuente original de BotenaGo", dijeron los investigadores, y agregaron que "parece que esta herramienta se ha creado rápidamente utilizando el código base del malware BotenaGo".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cada vez que leo nueva variante, pienso que estamos hablando de COVID... el menos vivo... jajaja