MALWARE XWO : ESCANEA INTERNET EN BUSQUEDA DE DISPOSITIVOS VULNERABLES

‌Los hackers no paran de buscar la manera de infectar nuestros dispositivos de las maneras más originales y rebuscadas posibles. Ahora, un nuevo malware ha cogido una técnica usada por otros ransomware, pero la aprovecha para escanear Internet en busca de dispositivos vulnerables para robarles la contraseña.

Xwo: el malware que escanea Internet en busca de dispositivos vulnerables

Así lo han descubierto investigadores de Alien Labs de AT&T, donde han analizado el malware descubierto en marzo y que han bautizado Xwo, cogiendo el nombre del módulo principal del malware. Los investigadores creen que este malware puede estar relacionado con el ransomware MongoLock y XBash, debido a que hay muchas similitudes en el código de los tres, escritos en Python.

Sin embargo, este malware no tiene nada relacionado con el ransomware ni con el minado de criptomonedas para poder sacarle rentabilidad a los ordenadores infectados, sino que lo que hace es buscar credenciales y servicios desprotegidos para recopilar la información y enviarla a un servidor de control mediante una solicitud HTTP POST.

Este tipo de comportamiento sigue el mismo patrón que los malware anteriormente mencionados, creando dominios que suplantan a webs reales de ciberseguridad y medios de comunicación, pasando a registrarlos bajo dominio .tk. Los investigadores no saben cómo se está expandiendo el malware ni cómo consigue acceso a ordenadores conectados a Internet.

Entre los servicios en los que busca credenciales por defecto se encuentran FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached, Tomcat, phpMyAdmin, VNC y RSYNC. Sin embargo, no hace nada más allá de identificar posibles objetivos y reportarlo al servidor de control. Lo más probable es que, a partir de ahí, los hackers encuentren puntos débiles para explotarlos en ataques más peligrosos con malware diferente.

Evita usar la contraseña por defecto

Así, este malware es básicamente el componente de otro malware que podría ser aún más peligroso, pero que evita ser tan dañino en un comienzo. La existencia de Xwo no quiere decir que hayan dejado de lado la creación de otro malware como ransomware, sino que están buscando nuevas vías para desplegar su ciberarsenal.

Además de utilizar un antivirus, los investigadores recomiendan a los administradores de red y a los usuarios que cambien las contraseñas por defecto de los servicios que utilizan, y que esos servicios tengan el acceso bloqueado a través de Internet (que normalmente suele ser a través de puertos abiertos). Gracias a ello, se evita que Xwo y otro malware que escanee la red pueda hacerse fácilmente con la información.

CloudFlare, por su parte, ha cerrado los servidores C2 que usaba el malware para enviar información, pero es muy probable que los atacantes vuelvan a lanzar nuevas oleadas de ataques a través de nuevos servidores maliciosos.

Ver información original al respecto en Fuente >

Ver mas info en ingles original en >

COMENTARIO:

El indicado dominio .tk corresponde a Tokelau, un grupo de islotes neozelandes que usan exclusivamente energía solar.

Según indica McAfee se trata de un “paraiso de webs peligrosas”:

https://elpais.com/tecnologia/2007/03/13/actualidad/1173778084_850215.html

Y conviene saber que, entre otros dominios, el .es, tambien lo usan algunas webs con riesgo de seguridad:

“Entre los países europeos, las direcciones que más riesgos de seguridad presentan son las que usan el dominio de Rumanía (con un 5,6% de sitios peligrosos) y Rusia (4,5%). Cada mes, según McAfee, los internautas hacen clic más de 550 millones de veces en páginas que pueden poner en riesgo su seguridad. Seis de cada 1000 páginas que utilizan el dominio identificativo de España, ‘.es’ suponen algún tipo de amenaza.”

saludos

ms, 4-4-2019