Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

Wicked: scoperta nuova variante della botnet Mirai

botnet  Mirai  Wicked   venerdì, 18 maggio 2018

Il team di ricerca di Fortinet Labs ha individuato una nuova variante del bot Mirai, battezzata Wicked. A differenza del malware Mirai originale, che utilizzava tecniche di forza bruta basate su liste di credenziali predefinite per tentare di penetrare nei dispositivi IoT, Wicked sfrutta una serie di exploit disponibili pubblicamente, di cui molti noti da tempo.

Il bot Wicked, rilevato dalle soluzioni di sicurezza Fortinet come “ELF/Mirai.AT!tr”, effettua una scansione della rete tentando di aprire un socket sulle porte 8080, 8443, 80 e 81 verso indirizzi IP di dispositivi IoT potenzialmente vulnerabili. Se la connessione va a buon fine, il malware tenta di sfruttare vulnerabilità note del dispositivo per scaricare il proprio payload malevolo sul sistema remoto.

L’exploit da utilizzare dipende dalla specifica porta a cui il bot è in grado di connettersi. In particolare, Wicked utilizza i seguenti exploit:

  • Porta 8080: vulnerabilità in router Netgear DGN1000 e DGN2200 v1 (exploit utilizzato anche dalla botnet IoTroop/Reaper)
  • Porta 81: vulnerabilità di tipo esecuzione di codice da remoto in CCTVDVR di diversi produttori
  • Porta 8443: vulnerabilità di tipo iniezione di comandi arbitrari in router Netgear R7000 e R6400 (CVE-2016-6277)
  • Porta 80: tentativo di scaricare altro malware da server compromessi con shell Web attive

Apparentemente, Wicked tenta di scaricare sui dispositivi compromessi altri bot noti, tra cui Sora, Owari, poi sostituiti dal più recente Omni. I ricercatori di Fortinet ritengono che tutti questi malware siano stati creati dallo stesso autore, un sedicente “ricercatore” di sicurezza conosciuto proprio con lo pseudonimo Wicked. Da sottolineare come il bot Omni si diffonda sfruttando, tra le altre, una vulnerabilità critica (CVE-2018–10561) scoperta di recente in un gran numero di router GPON prodotti dalla società Dasan.

Al momento, la capacità di individuazione di Wicked da parte dei più diffusi antivirus risulta abbastanza elevata.

Notizie correlate

RottenSys: scoperto malware preinstallato in 5 milioni di dispositivi Android

16 marzo 2018

I ricercatori di sicurezza di Check Point hanno scoperto una nuova famiglia di malware per sistemi Android, battezzata RottenSys, che avrebbe già infettato circa 5 milioni di dispositivi mobili.Leggi tutto

ADB.Miner: scoperto bot Android per il mining di criptovaluta

8 febbraio 2018

I ricercatori di sicurezza della società Qihoo 360 hanno scoperto una botnet che coinvolge dispositivi Android e li sfrutta per effettuare il mining della criptovaluta Monero.Leggi tutto

Scoperta variante di Mirai progettata per infettare dispositivi con CPU ARC

15 gennaio 2018

È stata scoperta una nuova famiglia di malware per sistemi Linux, battezzata Mirai Okiru, progettata per infettare dispositivi equipaggiati con CPU ARC.Leggi tutto