La variante de Mirai apunta a múltiples vulnerabilidades de IoT en una campaña reciente

Según investigadores de Palo Alto Unit 42 Networks, estas vulnerabilidades se están aprovechando para obtener un control completo sobre los dispositivos para ejecutar ataques adicionales, como ataques DDoS. 

La última variante detectada de la botnet Mirai se identificó en dos campañas en curso que comenzaron el 14 de marzo y aumentaron en abril y junio.

• La variante apunta a alrededor de 22 problemas de seguridad conocidos en varios productos conectados, como enrutadores, DVR, NVR, dongles de comunicación WiFi, sistemas de monitoreo térmico, sistemas de control de acceso y monitores de generación de energía solar. 
• Algunos de estos productos afectados son de D-Link, Nagios, Arris, Zyxel, TP-Link, SolarView, Nortek, Tenda y MediaTek.

Cadena de infección

• La cadena de ataque comienza explotando una de estas fallas, sentando las bases para ejecutar un script de shell desde un recurso externo. 
• Este script descarga el cliente de botnet que coincide con las arquitecturas de un dispositivo comprometido, como armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k y sparc.
• Después de la ejecución del cliente bot, el programa de descarga de secuencias de comandos de shell elimina las pistas de infección de archivos del cliente para reducir la probabilidad de detección.

Las botnets inspiradas en Mirai continúan creciendo

• Recientemente, la Fundación Shadowserver citó la explotación activa de una falla de inyección de comando en el equipo Zyxel por parte de una botnet similar a Mirai.
• Otra variante, denominada IZ1H9 , se encontró en ataques de red a gran escala dirigidos a servidores y dispositivos de red que ejecutan Linux. 
• En febrero, una variante de Mirai, rastreada como V3G4 , explotó 13 vulnerabilidades diferentes en tres campañas diferentes para lanzar ataques DDoS masivos.