jueves, 18 de marzo de 2021

Nuevo malware que convierte los equipos que infecta en Honeypots

ZHtrap nuevo malware

      El grupo de investigadores de seguridad de 360 NetLab ha descubierto un nuevo malware nombrado ZHtrap. Este malware está basado en el código fuente de Mirai, y que se encarga de convertir en Honeypots dispositivos de red UPnP infectados los cuales ha rastreado con anterioridad.

Una vez ha infectado un dispositivo y añadido a su botnet, utilizada una lista blanca que solo permite la ejecución de procesos del sistema bloqueando de esta forma cualquier nuevo comando que se intente ejecutar, de esta forma consigue que nuevos malwares puedan infectar los bots infectados por ZHtrap.

Entre los bots que han sido infectados por ZHtrap se comunican utilizando un servidor de comando y control (C&C) TOR, además, para ocultar el tráfico malicioso utilizan un proxy Tor. Este malware tiene como capacidades llevar a cabo ataques DDoS, al igual que la mayoría de botnets, y realizar rastreos de nuevos dispositivos vulnerables que puedan ser infectados para ser añadidos a la botnet.

Otra de las funcionalidades que le diferencia del resto de botnets es la creación de una puerta trasera en el dispositivo infectado que permite descargar y ejecutar cargas útiles maliciosas adicionales.

Una de las características principales de ZHtrap es la manera que utiliza los honeypots para recopilar direcciones IP de más objetivos que puedan llegar a ser vulnerables y de esta forma propagarse a esos, incluso si estos ya están infectados por otro malware.

Una vez un dispositivo ha sido convertido en un honeypot, este se utiliza para escuchar una lista de 23 puertos diferentes, recopilando las IP que se conecten a través de estos puertos para enviarlas al módulo de escaneo de ZHtrap como objetivos potenciales para sus ataques.

Los investigadores de 360 Netlab, han indicado que las partes más interesantes de este malware reside en la capacidad para convertir dispositivos infectados en honeypots. Utilizando estos honeypots como una herramienta para capturar ataques, como la recopilación de exploraciones, exploits y muestras.


No hay comentarios:

Publicar un comentario