Un análisis en curso de una botnet de minería de criptomonedas conocida como KmsdBot ha llevado a su cierre accidental.
KmsdBot, bautizado por el Equipo de Respuesta de Inteligencia de Seguridad (SIRT) de Akamai, salió a la luz a mediados de noviembre de 2022 por su capacidad para forzar sistemas con credenciales SSH débiles.
La botnet ataca a dispositivos Windows y Linux que abarcan una amplia gama de microarquitecturas con el objetivo principal de desplegar software de minería y agrupar los hosts comprometidos en un bot DDoS.
Algunos de los principales objetivos eran empresas de juegos, compañías tecnológicas y fabricantes de coches de lujo.
El investigador de Akamai Larry W. Cashdollar, en una nueva actualización, explicó cómo los comandos enviados al bot para entender su funcionalidad en un entorno controlado neutralizaron involuntariamente el malware.
«Curiosamente, después de un solo comando mal formateado, el bot dejó de enviar comandos».
«No todos los días te encuentras con una red de bots en la que los actores de la amenaza estrellan su propia obra».
Cashdollar
Esto, a su vez, fue posible debido a la falta de un mecanismo de comprobación de errores integrado en el código fuente para validar los comandos recibidos.
En concreto, una instrucción emitida sin un espacio entre el sitio web de destino y el puerto hacía que todo el binario que se ejecutaba en la máquina infectada se bloqueara y dejara de interactuar con su servidor de comando y control (C2), lo que acababa con la red de bots.
El hecho de que KmsdBot no tenga un mecanismo de persistencia también significa que el operador del malware tendrá que volver a infectar las máquinas y reconstruir la infraestructura desde cero.
«Esta red de bots ha estado persiguiendo a algunas marcas de lujo y empresas de juegos muy grandes, y sin embargo, con un comando fallido no puede continuar»
Cashdollar
Más información:
Accidentally Crashing a Botnet
Deja una respuesta