La botnet Hide 'N Seek continúa creciendo infectando dispositivos IoT
- Endpoint
La primera capacidad de la botnet implica el uso de un escáner tomado del malware Mirai para llegar a direcciones IP aleatorias de dispositivos IoT y abusar de vulnerabilidades conocidas. Para ello se vale de que muchos de estos dispositivos todavía usan sus contraseñas por defecto.
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
Los analistas de seguridad de Avast informaron que la botnet Hide ’N Seek sigue creciendo al infectar dispositivos vulnerables de Internet de las Cosas (IoT) que aún utilizan sus contraseñas predeterminadas.
Según Avast, la botnet Hide 'N Seek viene con dos funcionalidades principales. La primera capacidad involucra el uso de un escáner tomado del malware Mirai para alcanzar direcciones IP aleatorias de dispositivos IoT y abusar de vulnerabilidades conocidas. Si esto no funciona, el escáner prueba con el acceso de fuerza bruta a un dispositivo IoT utilizando una lista codificada de contraseñas predeterminadas.
Para su segunda funcionalidad, la botnet IoT utiliza un protocolo P2P (peer-to-peer) para compartir información, exfiltrar archivos de un dispositivo infectado y distribuir nuevos archivos binarios, incluidos algunos para un criptominero de Monero. Los investigadores de Avast creen que el minero es solo una prueba y que las verdaderas intenciones de los atacantes aún son desconocidas.
Los investigadores de Bitdefender fueron los primeros en detectar la botnet Hide 'N Seek en enero de 2018. Unos meses más tarde, Bitdefender informó que la amenaza había agregado un código que abusaba de dos nuevas vulnerabilidades que afectan a modelos de cámaras de televisión IP (IPTV) para buscar un grupo más grande de dispositivos vulnerables y lograr la persistencia en un producto IoT infectado.
Siguieron más mejoras en julio, cuando 360 Netlab observó exploits adicionales y un programa de minería entonces inactivo. Dos meses más tarde, Bitdefender descubrió otra actualización cuando Hide 'N Seek obtuvo la capacidad de explotar la función Android Debug Bridge (ADB) sobre la función Wi-Fi en dispositivos Android.