Noabot, una variante de Mirai que afecta a dispositivos basados en Linux
Hace ya varios días se dio a conocer información en la red sobre un nuevo malware que tiene como objetivo los dispositivos basados en Linux. Bautizado como «Noabot», es una variante personalizada de Mirai, que ha estado comprometiendo dispositivos desde al menos el año pasado y ha sido detectado por investigadores de ciberseguridad.
Para quienes desconocen de Mirai, deben saber que este es un malware que infecta dispositivos IoT basados en Linux, como servidores, enrutadores y cámaras web, para formar botnets que realizan ataques a gran escala, como los ataques de denegación de servicio (DDoS). El código fuente de Mirai fue publicado en 2016, lo que permitió a otros crear sus propias variantes, como Noabot, para llevar a cabo sus propios ataques.
Sobre Noabot
El peligro de Noabot radica en su capacidad para instalar software de minería de criptomonedas en los dispositivos comprometidos, así como en su capacidad para ocultar su funcionamiento interno, lo que dificulta su detección y eliminación.
Mirai, conocido por su capacidad para propagarse y su uso en ataques de denegación de servicio distribuido (DDoS), se distingue por su diseño como gusano, lo que significa que se replica a sí mismo una vez que infecta un dispositivo Linux. Su método tradicional de propagación implica escanear Internet en busca de dispositivos que acepten conexiones Telnet, intentando descifrar las contraseñas predeterminadas o comunes. Una vez que infecta un dispositivo, busca otros dispositivos para infectarlos de la misma manera.
Sin embargo, NoaBot tiene un enfoque diferente, ya que en lugar de apuntar a contraseñas Telnet débiles, NoaBot ataca contraseñas débiles que permiten conexiones SSH. Además, a diferencia de Mirai, NoaBot no se utiliza para llevar a cabo ataques DDoS. En cambio, instala software de minería de criptomonedas, como una versión modificada de XMRig, para que los actores de amenazas puedan generar criptomonedas utilizando los recursos de las víctimas.
Además, NoaBot se ha utilizado para propagar P2PInfect, un gusano independiente revelado por investigadores de Palo Alto Networks. Durante los últimos 12 meses, Akamai ha estado monitoreando NoaBot en un honeypot que simula dispositivos Linux reales, rastreando varios ataques en la naturaleza. Los ataques han provenido de 849 direcciones IP distintas, la mayoría de las cuales probablemente alojan dispositivos ya infectados.
“A primera vista, NoaBot no es una campaña muy sofisticada. Es «simplemente» una variación de Mirai y un minero de criptomonedas XMRig, que son comunes hoy en día. Sin embargo, las ofuscaciones añadidas al malware y las adiciones al código fuente original pintan una imagen muy diferente de las capacidades de los actores de amenazas”, escribió Stiv Kupchik, investigador principal de seguridad de Akamai
Según los investigadores de Akamai, la capacidad más avanzada de NoaBot es cómo la botnet instala su variante del software de minería de criptomonedas XMRig. NoaBot presenta una serie de características inusuales que lo distinguen de otras variantes de malware, como Mirai, y hacen que sea más difícil de detectar y analizar para los investigadores de seguridad:
- Configuración cifrada u ofuscada: NoaBot almacena los parámetros de configuración cifrados u ofuscados y los descifra solo una vez que XMRig se carga en la memoria, lo que garantiza la privacidad de los actores de amenazas. Las cadenas de caracteres legibles por humanos incluidas en el código de NoaBot se ofuscan en lugar de guardarse en texto sin formato, lo que dificulta la extracción de detalles del binario.
- Uso de UClibc: NoaBot se compila utilizando la biblioteca de códigos UClibc en lugar de la biblioteca GCC utilizada por Mirai estándar, lo que puede cambiar la forma en que los programas antivirus detectan NoaBot y lo clasifican.
- Difícil detección: NoaBot se compila estáticamente y sin símbolos, lo que dificulta la ingeniería inversa y el análisis del malware.
- Ejecución aleatoria: El binario de NoaBot se ejecuta desde una carpeta generada aleatoriamente en el directorio /lib, lo que dificulta la detección de infecciones en los dispositivos.
- Diccionario personalizado: NoaBot reemplaza el diccionario estándar de Mirai con un diccionario más grande y personalizado, lo que complica las pruebas de fuerza bruta para las contraseñas.
- Apunta a SSH: NoaBot cambia el escáner de Telnet de Mirai por un escáner SSH personalizado.
- Capacidades de intrusión: NoaBot tiene capacidades posteriores a la intrusión, como la instalación de una nueva clave SSH autorizada que permite al atacante acceder como puerta trasera para descargar y ejecutar archivos binarios adicionales o difundirlos a nuevos dispositivos.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.