I ricercato di sicurezza hanno scovato un trojan per Windows utile per aiutare la distribuzione di Mirai Linux, del quale abbiamo gia parlato qui , usato per infettare i dispositivi IoT e effettuare massicci attacchi DDoS. Il malware Mirai è stato sviluppato per la prima volta a cavallo tra la fine del 2015 e l'inizio del 2016 ed è diventato una minaccia effettivamente diffusa durante l'estate e l'autunno 2016, quando riuscì a diffondersi a migliaia di router e videoregistratori ( distribuito tramite smart camera e sistemi di telecamere a circuito chiuso).
La botnet Mirai è stata usata per lanciare una lunga serie di attacchi, uno dei quali contro il blog KrebsONSecurity, cosa che ha comunque attirato le attenzioni delle forze di Polizia, obbligando l'autore del malware e pubblicare in rete il codice sorgente del malware. Questa mossa ha fatto sì che spuntassero decine di varianti di Mirai e che le tracce dello sviluppatore originale si confondessero ancora di più.
Mirai ha ora la sua prima versione per Windows...
Uno dei recenti sviluppi del malware Mirai è stato scoperto dalla società russa di informatica Dr.Web, i cui ricercatori si sono imbattuti in un trojan per Windows ideato con il solo scopo di aiutare Mirai a diffondersi su un numero maggiore di dispositivi. Le versioni standard di Mirai lavorano infettando un dispositivo, selezionano un indirizzo IP a caso e tentando il login tramite la porta Telnet, utilizzando un elenco di credenziali di default di amministrazione. Le versioni successive hanno aggiunto la possibilità di lanciare questi attacchi "indovinando" le password tramite le porte SSH. Il malware effettivamente è molto efficace, ma era contenuto solo in dispositivi con sistema operativo Linux.
Il trojan individuato da Dr.Web (individuato con la dicitura Trojan.Mirai.1) aiuta i truffatori a lanciare l'attacco per l'individuazione della password da dispositivi Windows, anche se Mirai stesso (individuato come Linux.Mirai) non può eseguirsi, quindi funzionare, su Windows. Quindi a che serve tutto questo? Se Mirai infetta un dispositivo Windows, lo userà semplicemente come ulteriore base di diffusione.
Questa nuova versione di Mirai attacca più porte...
Il trojan Mirai Windows funziona infettando un dispositivo, dal quale si mette in contatto con un server C&C online e scarica un elenco di indirizzi IP. Esattamente come il trojan Mirai originario, la variante per Windows prova a eseguire il login nei dispositivi, ma qui la novità è che il tentativo avviene tramite più porte, ovvero:
22 - SSH
23 - Telnet
135 - DCE/RPC
445 - Active Directory
1433 - MSSQL
3306 - MySQL
3389 - RDP
Quando il trojan di Windows riesce a infettare un nuovo dispositivo, se la piattaforma sottostante funziona con Linux, esegue una serie di comandi che provocano la creazione di un nuovo bot per la botnet Mirai.
Se invece il trojan di Windows si diffonde ad un nuovo dispositivo Windows, creerà una copia di se stesso lì e continuerà ad bersagliare altri dispositivi.
Inoltre, i ricercatori sostengono che quando il trojan infetta un database, ad esempio MSSQL e MySQL, invia comandi al fine di creare un nuovo utente con i privilegi di amministratore, con il quale vi sono maggiori possibilità di rubare i dati dai dispositivi infetti. L'unico caso in cui il trojan non riesce a fare niente è quello in cui si connette tramite RDP, in quel caso attende solo che una operatore umano prenda il controllo del dispositivo infetto. Ma la scoperta di Dr.Web è così recente che ancora non sappiamo dire come si svilupperà questa versione del trojan Mirai.
Inoltre, i ricercatori sostengono che quando il trojan infetta un database, ad esempio MSSQL e MySQL, invia comandi al fine di creare un nuovo utente con i privilegi di amministratore, con il quale vi sono maggiori possibilità di rubare i dati dai dispositivi infetti. L'unico caso in cui il trojan non riesce a fare niente è quello in cui si connette tramite RDP, in quel caso attende solo che una operatore umano prenda il controllo del dispositivo infetto. Ma la scoperta di Dr.Web è così recente che ancora non sappiamo dire come si svilupperà questa versione del trojan Mirai.
Nessun commento:
Posta un commento