La botnet Hide 'N Seek continúa creciendo infectando dispositivos IoT

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Los analistas de seguridad de Avast informaron que la botnet Hide ’N Seek sigue creciendo al infectar dispositivos vulnerables de Internet de las Cosas (IoT) que aún utilizan sus contraseñas predeterminadas.

Según Avast, la botnet Hide 'N Seek viene con dos funcionalidades principales. La primera capacidad involucra el uso de un escáner tomado del malware Mirai para alcanzar direcciones IP aleatorias de dispositivos IoT y abusar de vulnerabilidades conocidas. Si esto no funciona, el escáner prueba con el acceso de fuerza bruta a un dispositivo IoT utilizando una lista codificada de contraseñas predeterminadas.

Para su segunda funcionalidad, la botnet IoT utiliza un protocolo P2P (peer-to-peer) para compartir información, exfiltrar archivos de un dispositivo infectado y distribuir nuevos archivos binarios, incluidos algunos para un criptominero de Monero. Los investigadores de Avast creen que el minero es solo una prueba y que las verdaderas intenciones de los atacantes aún son desconocidas.

Los investigadores de Bitdefender fueron los primeros en detectar la botnet Hide 'N Seek en enero de 2018. Unos meses más tarde, Bitdefender informó que la amenaza había agregado un código que abusaba de dos nuevas vulnerabilidades que afectan a modelos de cámaras de televisión IP (IPTV) para buscar un grupo más grande de dispositivos vulnerables y lograr la persistencia en un producto IoT infectado.

Siguieron más mejoras en julio, cuando 360 Netlab observó exploits adicionales y un programa de minería entonces inactivo. Dos meses más tarde, Bitdefender descubrió otra actualización cuando Hide 'N Seek obtuvo la capacidad de explotar la función Android Debug Bridge (ADB) sobre la función Wi-Fi en dispositivos Android.