Los operadores de la botnet InterPlanetary Storm han ampliado su alcance al lanzar una nueva variante del malware dirigida a dispositivos Mac y Android además de máquinas Windows y Linux, según un nuevo informe de los investigadores de Barracuda.
El malware está construyendo una botnet, que ahora incluye aproximadamente 13.500 dispositivos en 84 países de todo el mundo, la mayoría de ellos ubicados en Hong Kong, Corea del Sur y Taiwán. Las infecciones también se detectaron en Rusia, Brasil, Estados Unidos, Canadá, Suecia y China.
“El malware se llama InterPlanetary Storm porque utiliza la red p2p del InterPlanetary File System (IPFS) y su implementación libp2p subyacente. Esto permite que los nodos infectados se comuniquen entre sí directamente o a través de otros nodos (es decir, relés) ”, explican los investigadores.
La nueva versión del malware compromete las máquinas víctimas a través de un ataque de diccionario contra servidores SSH o accediendo a servidores ADB (Android Debug Bridge) abiertos. El malware detecta la arquitectura de la CPU y el sistema operativo en ejecución de sus víctimas, y puede ejecutarse en máquinas basadas en ARM.
Una variante de Windows de InterPlanetary Storm fue descubierta y detallada por primera vez por investigadores de Anomali en mayo de 2019. En junio de 2020, se descubrió una versión de Linux del malware y, a fines de agosto, surgió una nueva variante capaz de atacar dispositivos IoT, como televisores que se ejecutan en sistemas operativos Android y máquinas basadas en Linux, como enrutadores con servicio SSH mal configurado.
“Si bien la botnet que está construyendo este malware aún no tiene una funcionalidad clara, les da a los operadores de la campaña una puerta trasera a los dispositivos infectados para que luego puedan usarse para criptominería, DDoS u otros ataques a gran escala”, señala Barracuda.
La nueva variante de InterPlanetary Storm viene con características únicas que le ayudan a mantener la persistencia en las máquinas infectadas, como la capacidad de detectar honeypots y persistir instalando un servicio (system / systemv), actualizarse automáticamente y eliminar otros procesos en la máquina. que representan una amenaza para el malware, como los depuradores y el malware de la competencia, al verificar cadenas de caracteres como "rig", "xig" y "debug".
Una vez comprometidos, los dispositivos se comunican con el servidor de comando y control (C2) para informar que forman parte de la botnet. Las identificaciones de cada máquina infectada se generan durante la infección inicial y se reutilizarán si la máquina se reinicia o el malware se actualiza, dijeron los investigadores.
Para defenderse de esta amenaza, los investigadores recomiendan a los usuarios que configuren correctamente el acceso SSH en todos los dispositivos, utilicen una herramienta de gestión de la postura de seguridad en la nube para monitorear el control de acceso SSH para eliminar cualquier error de configuración y para implementar una conexión VPN habilitada para MFA y segmentar las redes para el necesidades específicas en lugar de otorgar acceso a amplias redes IP.
