Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta versione Windows del bot Mirai

botnet  IoT  Mirai  trojan  Trojan.Mirai.1   venerdì, 10 febbraio 2017

Come riportato da Bleeping Computer, i ricercatori di sicurezza di Dr.Web hanno scoperto un nuovo trojan per i sistemi Windows, battezzato Trojan.Mirai.1, utilizzato dai cybercriminali per aumentare la diffusione del noto malware per Linux Mirai, progettato per infettare dispositivi IoT e realizzare una botnet dalla quale vengono condotti massicci attacchi DDoS.

MiraiUna volta infettato un dispositivo, la versione Linux del bot Mirai (rilevata da Dr.Web come Linux.Mirai) tenta di diffondersi ulteriormente provando a connettersi via Telnet o SSH ad una lista di indirizzi IP scaricata da un server C&C e ad effettuare il login utilizzando una lista preimpostata di credenziali di amministratore.

Il trojan scoperto da Dr.Web è progettato per aiutare gli autori del malware ad ampliare la botnet Mirai effettuando le scansioni di rete e gli attacchi a forza bruta alle password dei dispositivi anche da computer Windows. Se il trojan per Windows riesce a connettersi ad un dispositivo Linux, esegue una serie di comandi mediante i quali scarica ed esegue il bot Linux.Mirai, creando a tutti gli effetti un nuovo nodo attivo della botnet Mirai. Se invece il trojan si connette a una macchina Windows, vi scarica una copia di se stesso e trasforma il sistema attaccato in un nuovo centro di diffusione del malware.

Una volta lanciato su una macchina Windows, Trojan.Mirai.1 si connette al server C&C e scarica un file di configurazione (“wpd.dat”) dal quale estrae la lista di indirizzi IP da attaccare. Durante la scansione il trojan tenta di connettersi simultaneamente ai dispositivi bersaglio utilizzando un numero di porte superiore rispetto alla sua controparte Linux:

  • 22 – SSH
  • 23 – Telnet
  • 135 – DCE/RPC (Distributed Computing Environment / Remote Procedure Calls)
  • 445 – Active Directory
  • 1433 – MSSQL
  • 3306 – MySQL
  • 3389 – RDP (Remote Desktop Protocol)

Stando a quanto riportato dai ricercatori di Dr.Web, se Trojan.Mirai.1 riesce a connettersi ad un DBMS come MSSQL o MySQL, esegue dei comandi che gli consentono di creare un nuovo utente con privilegi di amministratore, mediante il quale scarica da remoto e installa una copia del malware sul sistema Windows. Nel caso in cui la connessione avvenga tramite il protocollo RDB, il trojan rimane invece inattivo.

Per un’analisi dettagliata di questo malware, compresi svariati indicatori di compromissione (IoC), si faccia riferimento alla pagina descrittiva di Trojan.Mirai.1 sul sito di Dr.Web.

Notizie correlate

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Milioni di dispositivi di videosorveglianza Xiongmai attaccabili dal Cloud

12 ottobre 2018

Sono state individuate diverse vulnerabilità nell'infrastruttura Cloud di Xiongmai che consentono di compromettere milioni di telecamere IP, DVR e NVR di questo produttore.Leggi tutto