La botnet KmsdBot

Los analistas de Akamai han presentado un informe sobre una nueva botnet, KmsdBot, que utiliza SSH para infiltrarse en los sistemas de las víctimas. Este malware, escrito en Go, se dedica a la minería de criptomonedas, así como a la realización de ataques DDoS. La infección de KmsdBot afecta a una variedad de compañías, desde juegos, hasta fabricantes de automóviles de lujo y empresas de seguridad de la información.

«La botnet infecta los sistemas a través de SSH explotando credenciales de inicio de sesión débiles», afirma Larry Cashdollar, especialista de Akamai. «Al mismo tiempo, el malware no mantiene una presencia permanente en el sistema infectado, tratando de evitar la detección».

KmsdBot obtuvo su nombre gracias al archivo ejecutable kmsd.exe, que se descarga desde un servidor remoto de hackers después de un compromiso exitoso. Se sabe que el malware admite varias arquitecturas, incluidas Winx86, Arm64, mips64 y x86_64. Los investigadores señalan que KmsdBot puede realizar operaciones de escaneo y extenderse aún más, utilizando una lista de combinaciones de inicios de sesión y contraseñas descargadas desde el exterior.

Según Akamai, el primer objetivo conocido de este malware fue la compañía de juegos FiveM, que está desarrollando un mod multijugador para Grand Theft Auto V, que permite a los jugadores crear servidores personalizados Grand Theft Auto Online. También se observaron ataques contra compañías de seguridad y marcas de automóviles de lujo.

Se sabe que los ataques DDoS de KmsdBot son del tipo Capa 4 y 7, es decir, se basan en solicitudes TCP, UDP, HTTP GET y POST.

Durante las observaciones de la botnet, los investigadores no vieron actividad asociada con la minería, la botnet se involucró solo en ataques DDoS. Sin embargo, el malware tiene funcionalidad para la minería: el comando ./ksmdr -o pool.hashvault.pro se encontró en el código, donde ksmdr es un archivo binario Xmrig que ha sido renombrado. Dado que la botnet todavía está en desarrollo, obviamente estas características aún no funcionan como deberían.

«Esta botnet es un gran ejemplo de la complejidad de los sistemas de seguridad y cómo evolucionan», dice Cashdollar. «Comenzando como un simple bot para una aplicación de juegos, KmsdBot finalmente se convirtió en una amenaza para las principales marcas de lujo».

Por admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *