Nueva variante de Mirai convierte dispositivos IoT en servidores proxy

Escrito por Javier Jiménez

Como sabemos, Mirai es una botnet. Se trata de una red de ordenadores zombis que comenzó su crecimiento en 2016. Desde entonces se ha utilizado en diversas ocasiones para llevar a cabo ataques DDoS. Uno de estos ataques fue muy conocido, contra Dyn, que dejó a muchos usuarios sin conexión. Hoy vuelve a estar presente en la actualidad relacionada con la seguridad. Esta vez se trata de una variante que afecta a los dispositivos IoT, o Internet de las Cosas.

Nueva variante de Mirai que ataca a dispositivos IoT

Los investigadores de seguridad han descubierto una nueva variante del malware Mirai que se centra en infectar IoT y equipos de red con el objetivo principal de convertir estos dispositivos en una red de servidores proxy utilizados para retransmitir tráfico malicioso.

No estamos ante algo novedoso. Las redes de bots que utilizan dispositivos IoT como servidores proxy no son algo nuevo. Muchas de estas botnets han sido detectadas durante los últimos meses.

Sin embargo esta es la primera variante de Mirai que además de la función DDoS también podría incluir una función proxy. Según indican en Bleeping Computer, los autores de malware frecuentemente han modificado las botnets de Mirai para que funcionen como servidores proxy desde su lanzamiento.

Hay que tener en cuenta que la mayoría de esas versiones nunca vieron una distribución masiva. Tampoco se enfocaron principalmente en la función proxy, dejándola a un lado respecto a la función DDoS.

Primera de este tipo

La variante de Mirai que ha sido descubierta recientemente es la primera variante de Mirai que se distribuye y coloca la función de proxy en el mismo nivel de importancia que la opción de DDoS.

A esta nueva variante la han denominado Mirai OMG. Está basada en la cadena OOMGA que se encuentra en algunas partes del código fuente del malware donde solía aparecer el término Mirai.

Esta nueva variante se une a la familia donde ya se encuentran otras como Satori, Masuta o Akuma. Ya hablamos en un artículo anterior de una variante de Satori que atacaba a plataformas de Ethereum, una de las criptomonedas más populares.

Entre el tráfico que pasa por estas redes proxy malintencionadas se incluye:

  • Tráfico destinado a los servidores C & C de malware para ocultar la verdadera ubicación.
  • Actúa como puntos de lanzamiento para ataques de fuerza bruta para eludir las soluciones de seguridad que limitan el número de intentos fallidos por IP
  • Lanzar ataques de inyección SQL, CSRF, LFI y XSS para explotar otras aplicaciones web.

Dado que Mirai OMG todavía confía en la clásica técnica de difusión Mirai de los dispositivos de fuerza bruta que usan contraseñas débiles, cambiar la contraseña predeterminada de cualquier equipo IoT debería salvaguardar a la mayoría de los usuarios de que su dispositivo sea tomado por parte de los ciberdelincuentes.

Como siempre decimos, la seguridad y privacidad es vital para mantener nuestros dispositivos en buen funcionamiento. Hay que contar para ello con programas y herramientas de seguridad. Pero además deben de estar actualizados a la última versión. Así podremos hacer frente a las amenazas más recientes.

Fuente > Bleeping Computer