Desde el comienzo del año 2023, se ha estado llevando a cabo una campaña de minería de criptomonedas con el uso de un nuevo botnet llamado NoaBot, basado en Mirai, según un informe de Akamai Security Researcher Stiv Kupchik.
El informe revela que NoaBot tiene características avanzadas que lo diferencian de otros botnets, incluyendo una capacidad de auto propagación como gusano y una puerta trasera para claves SSH que permite descargar y ejecutar binarios adicionales o propagarse a nuevas víctimas.
Aunque Mirai fue filtrado en 2016, ha sido el origen de varios botnets, siendo el más reciente InfectedSlurs, el cual está capacitado para montar ataques distribuidos de denegación de servicio.
Todo indica que la campaña de NoaBot podría estar vinculada con otra campaña de botnets que involucra una familia de malware basada en Rust, conocida como P2PInfect, que recientemente se ha actualizado para atacar routers y dispositivos IoT.
Esta conclusión se basa en que los actores maliciosos han experimentado en ataques recientes, donde han sustituido NoaBot por P2PInfect en servidores SSH. Esto indica un posible intento de cambiar a malware personalizado.
Aunque NaoBot tiene sus cimientos en Mirai, su módulo propagador utiliza un escáner SSH para buscar servidores vulnerables a un ataque de diccionario en orden de forzarlos. Si se logra, se agrega una clave pública SSH en el archivo .ssh/authorized_keys para permitir el acceso remoto. Adicionalmente, el botnet opcionalmente puede descargar y ejecutar binarios adicionales o propagarse a otras víctimas.
Kupchik, en su informe, comentó que el NoaBot está compilado con uClibc, lo que cambia la forma en que los motores antivirus detectan el malware. A diferencia de otras variantes de Mirai, que son detectadas generalmente por una firma Mirai específica, las firmas antivirus de NoaBot son las de un escáner SSH o un troyano general.
Además de incorporar tácticas de ofuscación para dificultar el análisis, la cadena de ataque resulta en la instalación de una versión modificada del minero de criptomonedas XMRig.
Lo que hace que esta nueva variante del botnet Mirai sea tan avanzada en comparación con otras campañas similares, es que no contiene información sobre la piscina minera o la dirección del monedero, lo que hace imposible evaluar la rentabilidad del esquema ilícito de minería de criptomonedas.
Akamai identificó hasta la fecha 849 direcciones IP víctimas, que están distribuidas geográficamente a lo largo del mundo, con una alta concentración reportada en China, lo que representa casi el 10% de todos los ataques contra sus honeypots en lo que va del 2023.
Finalmente, Kupchik aconseja que la clave para protegerse de los botnets de este tipo es restringir el acceso SSH arbitrario a la red e implementar contraseñas sólidas que no sean las predeterminadas o generadas al azar, ya que el malware utiliza una lista básica de contraseñas adivinables.
