Una versione aggiornata del malware botnet noto come KmsdBot sta prendendo di mira i dispositivi Internet of Things con attacchi alquanto raffinati.
Il ricercatore di Akamai Larry W. Cashdollar, in un’analisi pubblicata questo mese, ha dichiarato come “Il codice binario ora include il supporto per la scansione Telnet e il supporto per più architetture CPU” evidenziando come KmsdBot stia dunque prendendo di mira qualcosa di diverso rispetto ai classici malware. A quanto pare, la botnet collegata agli attacchi KmsdBot viene offerta come servizio DDoS a noleggio.
Il malware in questione è stato documentato per la prima volta dalla società di infrastruttura Web e sicurezza nel novembre 2022 e, almeno in principio, era progettato per prendere di mira server di gioco privati e provider di cloud hosting. Nel recente passato, KmsdBot ha dimostrato interesse su alcuni siti governativi spagnoli e rumeni, almeno fino alle ultime e inquietanti analisi.
L’agente malevolo in questione progettato per scansionare indirizzi IP casuali alla ricerca di porte SSH aperte e per forzare il sistema con un elenco di password scaricato da un server apposito.
I nuovi aggiornamenti, però, incorporano la scansione Telnet e consentono di coprire più architetture CPU comunemente presenti nei dispositivi smart.
KmsdBot è attivo anche nel settore Internet of Things: prese di mira password semplici o di default
Secondo Cashdollar “Come lo scanner SSH, quello Telnet richiama una funzione che genera un indirizzo IP casuale” aggiungendo poi come questo “Tenta di connettersi alla porta 23 su quell’indirizzo IP. Tuttavia, lo scanner Telnet non si ferma alla semplice decisione della porta 23, verificando anche che il buffer di ricezione contenga dati“.
L’attacco contro Telnet viene effettuato scaricando un file di testo (telnet.txt) che contiene un elenco di password deboli comunemente utilizzate e le loro combinazioni per un’ampia gamma di applicazioni, sfruttando principalmente il fatto che molti dispositivi IoT hanno le credenziali predefinite che molti utenti non personalizzano.
“Da un punto di vista tecnico, l’aggiunta delle funzionalità di scansione telnet suggerisce un’espansione della superficie di attacco della botnet, consentendole di prendere di mira una gamma più ampia di dispositivi. Inoltre, man mano che il malware si evolve e aggiunge il supporto per più architetture CPU, rappresenta una minaccia continua alla sicurezza dei dispositivi connessi a Internet” ha infine concluso il ricercatore.