Botnet IoT infecta 100.000 routers para enviar spam
Una nueva botnet IoT, bautizada como ‘BCMUPnP_Hunter‘, ha sido descubierta infectando routers para enviar correos electrónicos de spam.
router_img
Los investigadores de seguridad Hui Wang y RootKiter han descubierto recientemente una botnet IoT que infecta routers de diferentes marcas con el objetivo de enviar correos eléctronicos de spam a diferentes servicios de correo electrónico, como Hotmail, Outlook o Yahoo.
Esta botnet se ha bautizado con el nombre de ‘BCMUPnP_Hunter‘ debido al modo con el que infecta los routers. Para infectar a los routers, este malware hace uso de una vulnerabilidad de seguridad en la implementación del protocolo UPnP en los chips BroadCom encontrada en octubre de 2013. Esta vulnerabilidad de seguridad es del tipo ‘format string‘, por lo que permite al atacante explotar dicha vulnerabilidad para obtener y modificar información contenida en la memoria del proceso. Concretamente, esta vulnerabilidad se encuentra en la función SetConnectionType, que es accesible a través de una petición SOAP.
Captura de pantalla de 2018-11-16 11-35-26
Petición SOAP para la función SetConnectionType
Si en el parámetro NewConnectionType se incluye una cadena de texto que incluya un especificador de formato (para las funciones de formato en C suelen venir precedidos por ‘%’, como por ejemplo: ‘%s’, ‘%d’, etc.), entonces ese especificador de formato será interpretado y utilizado por el programa. Esto permite a un atacante obtener información contenida en la memoria o modificarla (usando el especificador de formato ‘%n’). Por ejemplo, si enviamos ‘%x,%x’ como valor para el parámetro NewConnectionType, recibiremos como respuesta los dos primeros elementos en la pila de memoria del proceso en formato hexadecimal.
Después de realizar un escaneo, los investigadores han detectado 116 tipos diferentes de dispositivos infectados por este malware. Puede consultarse la lista completa de dispositivos detectados en la publicación de su blog:
IoCs:
C2
109.248.9.17 “Bulgaria/BG” “AS58222 Solar Invest UK LTD” #C2&&Loader
MD5 de la muestra
9036120904827550bf4436a919d3e503
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.