Non è la prima volta che ritorna, e siamo pronti a scommettere che non sarà nemmeno l’ultima… Una nuova variante della celeberrima botnet Mirai è stata scoperta e battezzata col nome di Wicked dai ricercatori del team di Fortinet Labs.
A differenza del malware Mirai originale, che utilizzava tecniche di brute force attack basate su liste di credenziali predefinite per tentare di accedere abusivamente ai dispositivi IoT, Wicked sembra sfruttare una serie di exploit disponibili pubblicamente, e addirittura alcuni noti da molto tempo.
Come si installa e cosa fa?
Wicked, alias ELF/Mirai.AT!tr, effettua una scansione della rete mirata ad indirizzi IP di dispositivi IoT, cercando di aprire una socket sulle porte 8080, 8443, 80, 81.
L’exploit da utilizzare dipende dalla specifica porta a cui il bot è in grado di connettersi. In particolare, Wicked utilizza i seguenti exploit:
| Porta 8080 | vulnerabilità in router Netgear DGN1000 e DGN2200 v1 (exploit utilizzato anche dalla botnet IoTroop/Reaper) |
| Porta 81 | vulnerabilità di tipo esecuzione di codice da remoto in CCTV–DVR di diversi produttori |
| Porta 8443 | vulnerabilità di tipo command injection in router Netgear R7000 e R6400 (CVE-2016-6277) |
| Porta 80 | tentativo di scaricare altro malware da server compromessi con shell Web attive |
Una volta compromesso il dispositivo, Wicked tenta di scaricare altri bot noti, tra cui Sora, Owari, o il più recente Omni. I ricercatori di Fortinet sostengono che dietro questi malware ci sia la stessa mano, quella di un un sedicente “ricercatore” di sicurezza conosciuto con lo pseudonimo Wicked appunto.
E’ interessante ricordare che il bot Omni si diffonde sfruttando, tra le altre, una vulnerabilità critica (CVE-2018–10561) scoperta di recente in un gran numero di router GPON prodotti dalla società Dasan.