(https://i.postimg.cc/bwjStKbZ/Red-Line-malware.png) (https://postimages.org/)
Un nuevo malware multiplataforma basado en Go identificado como 'NKAbuse' es el primer malware que abusa de la tecnología NKN (New Kind of Network) para el intercambio de datos, lo que la convierte en una amenaza sigilosa.
NKN es un protocolo de red peer-to-peer descentralizado relativamente nuevo que aprovecha la tecnología blockchain para gestionar recursos y mantener un modelo seguro y transparente para las operaciones de red.
Uno de los objetivos de NKN es optimizar la velocidad de transmisión de datos y la latencia en la red, lo que se puede lograr calculando rutas de viaje eficientes para los paquetes de datos.
Las personas pueden participar en la red NKN ejecutando nodos, similar a la red Tor, y actualmente hay aproximadamente 60,710 nodos en ella.
Esta cantidad relativamente grande de nodos contribuye a la solidez, la descentralización y la capacidad de manejar volúmenes de datos significativamente altos.
Mover datos a través de NKN
(https://i.postimg.cc/Ghg8fhnT/Mover-datos-a-trav-s-de-NKN.png) (https://postimages.org/)
Detalles de NKAbuse
Kaspersky informa del descubrimiento de un novedoso malware llamado NKAbuse, que apunta principalmente a escritorios Linux en México, Colombia y Vietnam.
Una infección de NKAbuse detectada por Kaspersky implica la explotación de un antiguo defecto de Apache Struts (CVE-2017-5638) para atacar a una empresa financiera.
Aunque la mayoría de los ataques se dirigen a computadoras Linux, el malware puede comprometer el IoT y es compatible con las arquitecturas MIPS, ARM y 386.
NKAbuse abusa de NKN para lanzar ataques DDoS (denegación de servicio distribuido) que son difíciles de rastrear hasta una infraestructura específica y es poco probable que se marquen debido a que se originan en un protocolo novedoso que no es monitoreado activamente por la mayoría de las herramientas de seguridad.
"Esta amenaza (ab)utiliza el protocolo blockchain público NKN para llevar a cabo un gran conjunto de ataques de inundación y actuar como una puerta trasera dentro de los sistemas Linux". explica Kaspersky
Específicamente, el cliente de malware se comunica con el bot maestro a través de NKN para enviar y recibir datos. Al mismo tiempo, su capacidad para mantener vivos múltiples canales simultáneos otorga resiliencia a su línea de comunicación.
Los comandos de carga útil enviados por el C2 incluyen ataques de inundación HTTP, TCP, UDP, PING, ICMP y SSL dirigidos a un objetivo específico.
Comandos de ataque DDoS
(https://i.postimg.cc/mgczWfTX/commands.png) (https://postimages.org/)
"Históricamente, todas estas cargas útiles han sido utilizadas por botnets, por lo que, cuando se combinan con NKN como protocolo de comunicación, el malware puede esperar de forma asíncrona a que el maestro lance un ataque combinado", afirma Kaspersky.
Además de las capacidades DDoS, NKAbuse también actúa como un troyano de acceso remoto (RAT) en sistemas comprometidos, lo que permite a sus operadores ejecutar comandos, filtrar datos y tomar capturas de pantalla.
Funcionalidad de captura de pantalla
(https://i.postimg.cc/Z519T7RT/Screenshot-functionality.png) (https://postimages.org/)
Esta gran cantidad de capacidades que hacen que NKAbuse sea altamente versátil y adaptable no es típica en el espacio de las botnets DDoS.
Además, el uso de la tecnología blockchain que garantiza la disponibilidad y oculta el origen de los ataques hace que defenderse contra esta amenaza sea un gran desafío.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-nkabuse-malware-abuses-nkn-blockchain-for-stealthy-comms/