Botnet Simps

Una botnet desarrollada recientemente llamada “Simps” ha surgido del ciber-clandestino para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) en objetivos de juegos y otros, utilizando nodos de Internet de las cosas (IoT). Es parte del conjunto de herramientas utilizado por el grupo de delitos informáticos Keksec, dijeron los investigadores.

Según el equipo de investigación de amenazas de Uptycs, la botnet Gafgyt vio por primera vez en abril que la botnet Gafgyt lanzó a Simps en dispositivos IoT. Gafgyt (también conocido como Bashlite) es una botnet basada en Linux que se descubrió por primera vez en 2014 . Se dirige a dispositivos IoT vulnerables como enrutadores Huawei, enrutadores Realtek y dispositivos ASUS, que luego utiliza para lanzar ataques DDoS a gran escala y descargar cargas útiles de la siguiente etapa a las máquinas infectadas. Se ha añadido recientemente nuevos exploits para el compromiso inicial, para los dispositivos de Huawei, Realtek y Dasan GPON.

El script de shell y Gafgyt pueden implementar varias cargas útiles Simps de la siguiente etapa para varias arquitecturas basadas en Linux, señalaron los investigadores, utilizando la utilidad Wget. Wget es un paquete de software legítimo para recuperar archivos de servidores web mediante HTTP, HTTPS, FTP y FTPSa.

Una vez que se ejecuta el binario de Simps, suelta un archivo de registro que registra el hecho de que el dispositivo de destino está infectado y se conecta al servidor de comando y control (C2).

Los registros de infección comparten puntos en común, lo que permitió a los investigadores buscar referencias a ellos en la web en general. Esto llevó al descubrimiento de que el autor de Simps mantiene un canal de YouTube para ofrecer demostraciones de la funcionalidad de la botnet y un servidor Discord para albergar discusiones sobre el malware.

“La botnet podría estar en las primeras etapas de desarrollo debido a la presencia del archivo de registro después de la ejecución”, dijeron los investigadores, y señalaron que dejar un artefacto fácilmente detectable como ese no es la mejor práctica para quienes intentan pasar desapercibidos.

En cualquier caso, identificaron un video de YouTube creado por un usuario llamado “itz UR0A”, titulado “Simps Botnet😈, Slamming !!!” – que data del 24 de abril.

El enlace de YouTube también contenía un enlace al servidor de Discord para “UR0A”, que también estaba presente en el registro de infecciones, según el análisis.

“El servidor de Discord contenía varias discusiones sobre actividades DDoS y botnets con nombres diferentes”, señalaron los investigadores. “Un binario que identificamos en una conversación de chat llamada gay.x86 mostraba un mensaje de que ‘el sistema está empeñado por md5hashguy'”.

Uptycs recomendó algunas medidas para que los usuarios y administradores empresariales se identifiquen y se protejan contra los ataques de botnet:

  • Supervise periódicamente los procesos sospechosos, los eventos y el tráfico de red generado por la ejecución de cualquier binario / scripts que no sean de confianza.
  • Tenga siempre cuidado al ejecutar scripts de shell de fuentes desconocidas o no confiables.
  • Mantenga los sistemas y el firmware actualizados con las últimas versiones y parches.

Entradas relacionadas

Dejar un Comentario