InterPlanetary Storm Botnet infecta 13 mil dispositivos Mac y Android

Se descubrió una nueva variante del malware InterPlanetary Storm, que viene con nuevas tácticas de detección y evasión y ahora se dirige a dispositivos Mac y Android (además de Windows y Linux, que fueron atacados por variantes anteriores del malware).

Los investigadores dicen que el malware está construyendo una botnet con un estimado actual de 13.500 máquinas infectadas en 84 países en todo el mundo, y ese número continúa creciendo.

La primera variante de InterPlanetary Storm se descubrió en mayo de 2019 y estaba dirigida a máquinas Windows. En junio, también se informó de una variante dirigida a las máquinas Linux dirigidas a dispositivos IoT, como televisores que se ejecutan en sistemas operativos Android y máquinas basadas en Linux, como enrutadores con servicio SSH mal configurado.

La botnet, que está escrita en Go, usa la implementación Go de libp2p, que es un marco de red que permite a los usuarios escribir aplicaciones descentralizadas de igual a igual (P2P). Este marco fue originalmente el protocolo de red del InterPlanetary File System (IPFS), en el que los investigadores basaron el nombre del malware.

El malware se propaga a través de ataques de fuerza bruta en dispositivos con Secure Shell (SSH), un protocolo de red criptográfico para operar servicios de red de forma segura a través de una red no protegida. Los investigadores notaron que esto es similar a FritzFrog , otro malware P2P. Otro método de infección es acceder a los puertos abiertos Apple Desktop Bus (ADB), que conectan dispositivos de baja velocidad a las computadoras.

La variante más nueva del malware tiene varios cambios importantes, entre los que destaca la ampliación de su orientación para incluir dispositivos Mac y Android. Sin embargo, la nueva variante también puede actualizarse automáticamente a la última versión de malware disponible y eliminar otros procesos en la máquina que presenten una amenaza, como depuradores o malware de la competencia (mirando cadenas como «rig», «xig» y «debug ”).

Y ahora puede detectar honeypots buscando la cadena «svr04» en el indicador de comandos predeterminado, por ejemplo.

Una vez infectados, los dispositivos se comunican con el servidor de comando y control (C2) para informar que forman parte de la botnet. Los investigadores dijeron que las ID de cada máquina infectada se generan durante la infección inicial y se reutilizarán si la máquina se reinicia o si se actualiza el malware. Una vez descargado, también envía archivos de malware a otros nodos de la red. El malware también habilita el shell inverso y puede ejecutar bash shell, dijeron los investigadores.

Las botnets, particularmente las botnets P2P como Mozi ,  Roboto  y DDG  , continúan apareciendo en el panorama de las amenazas. Para evitar infecciones, los investigadores sugieren que los usuarios finales configuren correctamente el acceso SSH en todos los dispositivos y utilicen una herramienta de gestión de la postura de seguridad en la nube para monitorear el control de acceso SSH, eliminando cualquier error potencial de configuración.