Botnet en Blockchain DNS Mist ademas elimina Crypto miner

Un nuevo botnet capturó la atención de los investigadores de seguridad a través de su comportamiento inofensivo y el uso de un canal de comunicación original con su servidor de comando y control.

Fbot es una variante peculiar de Mirai que preserva el módulo DDoS original pero parece no usarlo. Esto no es lo más extraño todavía porque su propósito en este momento es buscar dispositivos infectados con un malware cryptomining y limpiarlos.

Investigadores de seguridad de 360Netlab de Qihoo descubrieron la nueva cepa y notaron que buscaba un malware de botnet llamado 'com.ufo.miner', una variante conocida de ADB.Miner que busca Monero en dispositivos Android (teléfonos inteligentes, televisores inteligentes, decodificadores).

Fbot se propaga buscando dispositivos con un puerto abierto 5555, utilizado por el servicio ADB (Android Debug Bridge) en Android, y luego recuperando un script a través de la interfaz ADB.

Una de las funciones del script es desinstalar el malware 'com.ufo.miner'. Otro es descargar la carga principal, Fbot, que viene integrada con detalles sobre cómo ponerse en contacto con el servidor de comando y control (C2). La tercera función es autodestruirse.

Fbot parece tener un impacto positivo en un sistema previamente infectado con com.ufo.miner, ya que busca procesos (SMI, RIG, XIG) asociados con la actividad cryptomining y los mata.

Escondido detrás de la cadena de bloques

Según los investigadores, el fabricante de Fbot eligió para el servidor C2 un nombre de dominio accesible a través de un Sistema de nombres de dominio (DNS) descentralizado, que comparte dominios a través de una red de igual a igual y los hace más difíciles de rastrear y eliminar.

"El dominio C2 musl.lib no es un nombre de dominio DNS estándar. Su dominio de primer nivel .lib NO está registrado en la ICANN y no puede ser resuelto por el sistema DNS tradicional", detalles de 360Netlab.

El nombre de dominio se resuelve a través de EmerDNS, el DNS basado en blockchain de EmerCoin, una plataforma que ofrece el registro de nombres de dominio de los espacios de nombres EMC, COIN, LIB y BAZAR, haciéndolos disponibles a través de su propio servidor DNS.

EmerCoin ahora tiene un acuerdo de pares con OpenNIC, la alternativa más grande a los registros de dominios de nivel superior tradicionales, para resolver sus nombres de dominio.

"La elección de Fbot usando EmerDNS que no sea el DNS tradicional es bastante interesante, elevó el listón para que el investigador de seguridad encuentre y rastree la red de bots (los sistemas de seguridad fallarán si solo buscan nombres DNS tradicionales), también hace que sea más difícil el dominio C2, al menos no aplicable para los miembros de la ICANN ", señalan los investigadores.

Los detalles técnicos de Fbot son intrigantes, y no está claro si es obra de un bienhechor o un adversario que busca deshacerse de la competencia. Sin embargo, algunos de los métodos utilizados pueden volverse más populares entre los cibercriminales que buscan proteger sus negocios. Lo que está seguro en este momento es que Fbot elimina un malware cryptomining y toma su lugar en el sistema de la víctima.

Fecha actualización el 2021-09-18. Fecha publicación el 2018-09-18. Categoría: botnet. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
botnet