OMG, un’altra nuova variante del malware Mirai ha alzato la testa, volta a trasformare i dispositivi Internet of Things (IoT) in server proxy.
Già qualche anno fa fece il suo exploit il virus Mirai, un malware (software dannoso), che trasforma i sistemi informatici in botnet ( una rete formata da dispositivi informatici collegati ad Internet ) controllabili da remoto.
Il team di FortiGuard Labs ha rilevato la botnet, che ha soprannominato OMG. La variante aggiunge e rimuove alcune configurazioni che possono essere trovate nel codice Mirai originale – ma mantiene anche i moduli originali di Mirai, inclusi i moduli di attacco, killer e scanner.
I ricercatori di FortiGuard hanno detto in un’analisi “Ciò significa che può fare ciò che faceva il Mirai originale, vale a dire uccidere i processi (relativi a telnet, ssh, http controllando le porte aperte e altri processi relativi ad altri bot), login brnet-force telnet per diffondersi”.
Tuttavia, la funzione proxy è lo scopo principale di OMG. I criminali informatici utilizzano i proxy per aggiungere l’anonimato quando eseguono attività di hacking e altre attività dannose. FortiGuard ha sottolineato in un’analisi che un modo per guadagnare denaro con i server proxy è vendere l’accesso ad essi ad altri criminali informatici, il che è ciò per cui OMG è stata creato.
Affinché il proxy funzioni correttamente, gli autori di OMG hanno aggiunto una regola firewall per consentire il traffico sulle porte generate; due stringhe contenenti il comando per aggiungere e rimuovere una regola del firewall per abilitarlo sono state aggiunte alla tabella di configurazione. Dopo aver abilitato la regola del firewall per consentire al traffico di passare attraverso le porte HTTP e SOCKS generate in modo casuale, configura il 3proxy con la configurazione predefinita incorporata nel suo codice, spiega FortiGuard.
Sebbene questa sia la prima volta che una variante Mirai modificata è stata individuata per essere in grado di distribuire attacchi denial-of-service (DDoS), oltre a configurare server proxy su dispositivi IoT vulnerabili, è improbabile che OMG sia l’ultima elaborazione su il tema Mirai.
“Dal rilascio del codice sorgente della botnet Mirai, FortiGuard Labs ha visto una serie di variazioni e adattamenti scritti da più autori che entrano nel panorama delle minacce IoT”, hanno detto i ricercatori. “Questi robot modificati basati su Mirai si differenziano aggiungendo nuove tecniche, oltre al login originale della forza bruta telnet, incluso l’uso di exploit e il targeting di più architetture. Abbiamo anche osservato che la motivazione di molte delle modifiche apportate a Mirai è di guadagnare di più. Mirai è stato originariamente progettato per l’attacco DDoS, ma le modifiche successive sono state utilizzate per indirizzare le piattaforme minerarie ETH vulnerabili alla criptovaluta “.
Fonte: infosecurity-magazine.com
