Aparece una versión para Windows del “destructivo” troyano Mirai

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Mirai es posiblemente el malware que golpeó más fuerte en 2016. Habiendo sido seleccionado por nosotros como uno “de los peores incidentes” de ese mismo año, fue utilizado para llevar a cabo el potentísimo ataque DDoS contra las DNS de Dyn, que dejó inaccesibles muchos de sitios web relevantes de Internet como PayPal, Amazon, Twitter, Netflix, Spotify, Airbnb, Reddit y SoundCloud. Por otro lado, también se sospecha que ha podido ser utilizado para llevar a cabo el potente ataque DDoS que recibió la empresa de hosting francesa OVH.

A pesar de que se llegó a descubrir una vulnerabilidad en Mirai, el troyano ha seguido su evolución, apareciendo recientemente una versión para Windows que ha sido diseñado solo para poner más dispositivos al servicio de los atacantes. Dicho esto, recordamos que hasta ahora solo afectada a sistemas Linux utilizados por dispositivos IoT y servidores (aunque más a los primeros debido a que se actualizan con menos diligencia).

La versión para Windows fue descubierta por la firma de ciberseguridad rusa Dr. Web y ha sido bautizada como Trojan.Mirai.1. Una vez instalado, el troyano se conecta al servidor de mando y control para descargar un fichero de configuración que contiene un rango de direcciones IP para intentar autenticarse a través de algunos puertos, como el 22 (SSH), el 23 (telnet), 135, 445, 1433, 3306 y 3389. Una vez haya conseguido autenticarse con éxito, Mirai ejecuta algunos comandos específicos que están en el fichero de configuración, aunque estos dependen del tipo de sistema comprometido. Básicamente, el troyano descarga un fichero binario para comprometer una máquina más y así sucesivamente.

Además de todo lo mencionado, los investigadores también han descubierto que Mirai puede identificar y comprometer gestores de bases de datos que se están ejecutando en varios puertos, incluyendo aquí a MySQL y Microsoft SQL Sever, creando un nuevo administrador que usa phpminds como nombre de usuario y phpgodwith como contraseña, abriendo así la puerta al robo de las mismas bases de datos.

No se sabe de momento quién está detrás de la creación de esta nueva variante de Mirai, pero el hecho de afectar también a sistemas Windows amplía aún más las posibilidades de infección y sumar dispositivos las redes creadas a través de este troyano.

Fuente:http://muyseguridad.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone