Δύο malware botnets που παρακολουθούνται ως «Ficora» και «Capsaicin» στοχεύουν D-Link routers, που έχουν φτάσει στο τέλος της ζωής τους ή εκτελούν ξεπερασμένες εκδόσεις υλικολογισμικού, με όλο και μεαλύτερη συχνότητα.
Δείτε επίσης: To Mirai Botnet στοχεύει smart routers της Juniper
Η λίστα των στόχων περιλαμβάνει δημοφιλείς συσκευές D-Link που χρησιμοποιούνται από άτομα και οργανισμούς όπως οι DIR-645, DIR-806, GO-RT-AC750 και DIR-845L.
Για αρχική πρόσβαση, τα δύο τμήματα του malware χρησιμοποιούν γνωστά exploit για τα CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 και CVE-2024-33112. Μόλις μια συσκευή παραβιαστεί, οι εισβολείς αξιοποιούν τις αδυναμίες στη διεπαφή διαχείρισης του D-Link (HNAP) και εκτελούν κακόβουλες εντολές μέσω μιας ενέργειας GetDeviceSettings.
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Τα malware botnets μπορούν να υποκλέψουν δεδομένα και να εκτελέσουν shell scripts στις συσκευές D-Link. Οι εισβολείς φαίνεται να παραβιάζουν τις συσκευές για σκοπούς κατανεμημένης άρνησης υπηρεσίας (DDoS).
Το Ficora έχει μια ευρεία γεωγραφική κατανομή με κάποια εστίαση στην Ιαπωνία και τις Ηνωμένες Πολιτείες. Το Capsaicin φαίνεται να στοχεύει κυρίως συσκευές σε χώρες της Ανατολικής Ασίας και αύξησε τη δραστηριότητά του για μόλις δύο ημέρες, ξεκινώντας από τις 21 Οκτωβρίου.
Δείτε ακόμα: Το BADBOX Botnet χάκαρε 74.000 συσκευές Android
Το Ficora είναι μια νεότερη παραλλαγή του botnet Mirai, προσαρμοσμένη για να εκμεταλλεύεται ειδικά ελαττώματα σε συσκευές D-Link.
Σύμφωνα με τα δεδομένα τηλεμετρίας της Fortinet, το botnet εμφανίζει τυχαία στόχευση, με δύο αξιοσημείωτες αυξήσεις στη δραστηριότητά του τον Οκτώβριο και τον Νοέμβριο.
Αφού αποκτήσει αρχική πρόσβαση στις συσκευές D-Link, το Ficora χρησιμοποιεί ένα shell script με το όνομα «multi» για τη λήψη και εκτέλεση του ωφέλιμου φορτίου του μέσω πολλαπλών μεθόδων όπως wget, curl, ftpget και tftp.
Το κακόβουλο λογισμικό περιλαμβάνει ένα ενσωματωμένο στοιχείο brute force με hardcoded διαπιστευτήρια, για τη μόλυνση πρόσθετων συσκευών που βασίζονται σε Linux, ενώ υποστηρίζει πολλαπλές αρχιτεκτονικές υλικού.
Όσον αφορά τις δυνατότητες DDoS, υποστηρίζει UDP flooding, TCP flooding και ενίσχυση DNS για μεγιστοποίηση της ισχύος των επιθέσεων του.
Δείτε επίσης: Το Socks5Systemz Botnet ενισχύει παράνομη υπηρεσία Proxy
Τα malware botnets, όπως αυτά που στοχεύουν D-Link routers, αποτελούν σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο αξιοποιώντας δίκτυα παραβιασμένων συσκευών για την εκτέλεση κακόβουλων δραστηριοτήτων. Η άμυνα ενάντια στα botnet απαιτεί μια πολυεπίπεδη προσέγγιση. Η εφαρμογή ισχυρών κωδικών πρόσβασης και τακτικών ενημερώσεων λογισμικού βοηθά στην ασφάλεια των συσκευών από ελαττώματα που εκμεταλλεύονται τα botnet. Επιπλέον, η χρήση τείχους προστασίας και συστημάτων ανίχνευσης εισβολής μπορεί να παρακολουθεί και να εμποδίζει τη μη εξουσιοδοτημένη κυκλοφορία. Η εκπαίδευση των χρηστών σχετικά με το ηλεκτρονικό phishing και τους ύποπτους συνδέσμους ελαχιστοποιεί τον κίνδυνο αρχικής μόλυνσης. Οι οργανισμοί θα πρέπει επίσης να χρησιμοποιούν τμηματοποίηση δικτύου για να περιορίσουν την εξάπλωση πιθανών επιθέσεων botnet εντός της υποδομής τους. Η προληπτική παρακολούθηση και η συνεργασία με κοινότητες κυβερνοασφάλειας διασφαλίζουν τον έγκαιρο εντοπισμό και τον μετριασμό των αναδυόμενων απειλών botnet.
Πηγή: bleepingcomputer