Investigadores de seguridad han descubierto una nueva botnet derivada de Mirai que se identifica a sí misma como xlabs_v1 y apunta a dispositivos expuestos a internet que ejecutan Android Debug Bridge (ADB) para reclutarlos en una red capaz de realizar ataques de denegación de servicio distribuido (DDoS).
Hunt.io, que detalló el malware, indicó que hizo el descubrimiento tras identificar un directorio expuesto en un servidor alojado en los Países Bajos con la dirección IP '176.65.139[.]44' sin requerir autenticación.
El malware admite '21 variantes de inundación a través de protocolos TCP, UDP y raw, incluido RakNet y UDP con forma de OpenVPN, capaces de evadir la protección DDoS de nivel de consumo', afirmó Hunt.io, añadiendo que se ofrece como un servicio DDoS por encargo diseñado para atacar servidores de juegos y hosts de Minecraft.
Lo que hace notable a xlabs_v1 es que busca dispositivos Android con un servicio ADB expuesto en el puerto TCP 5555, lo que significa que cualquier equipo que tenga habilitada esta herramienta por defecto, como televisores Android, decodificadores o smart TVs, podría ser un objetivo potencial.
Además de un APK de Android ('boot.apk'), el malware admite compilaciones multiarquitectura que cubren ARM, MIPS, x86-64 y ARC, lo que indica que también está diseñado para atacar routers residenciales y hardware de Internet de las Cosas (IoT).
El resultado es una botnet construida expresamente para recibir una orden de ataque desde el panel del operador ('xlabslover[.]lol') y generar una inundación de tráfico basura bajo demanda, dirigiendo específicamente el ataque DDoS contra servidores de juegos.
'El bot es ARMv7 enlazado estáticamente, se ejecuta en firmwares Android recortados y se entrega mediante pastes de ADB-shell en /data/local/tmp', explicó Hunt.io. 'La lista de nueve variantes de carga útil del operador está ajustada para decodificadores Android, smart TVs y hardware ARM de grado IoT que viene con ADB habilitado'.
Hay evidencia que indica que el servicio DDoS por encargo cuenta con precios escalonados según el ancho de banda. Esta evaluación se basa en la presencia de una rutina de perfilado de ancho de banda que recopila el ancho de banda y la geolocalización de la víctima.
Este componente abre 8192 sockets TCP paralelos al servidor Speedtest geográficamente más cercano, los satura durante 10 segundos e informa la tasa de transferencia de datos medida al panel. El objetivo, señaló Hunt.io, es asignar cada dispositivo comprometido a un nivel de precio para sus clientes pagadores.
Un aspecto importante a destacar es que la botnet existe después de enviar la información de ancho de banda en megabits por segundo (Mbps), lo que significa que el operador debe reinfectar el dispositivo una segunda vez a través del mismo canal de explotación ADB, dada la ausencia de un mecanismo de persistencia.
'El bot no se escribe en ubicaciones de persistencia en disco, no modifica scripts de inicio, no crea unidades systemd ni registra trabajos cron', dijo Hunt.io. 'Este diseño sugiere que el operador ve la sondeo de ancho de banda como una operación de actualización de nivel de flota poco frecuente, más que como una verificación previa al ataque, y el ciclo resultante de salida y reinfección es la intención del diseño'.
xlabs_v1 también cuenta con un subsistema 'killer' para eliminar competidores, de modo que pueda usurpar todo el ancho de banda ascendente del dispositivo víctima y usarlo para realizar el ataque DDoS. Actualmente no se sabe quién está detrás del malware, pero el actor de amenazas utiliza el alias 'Tadashi', como lo evidencia una cadena cifrada con ChaCha20 incrustada en cada compilación del bot.
Un análisis adicional de la infraestructura colocalizada ha descubierto un kit de minería Monero VLTRig en el host 176.65.139[.]42, aunque actualmente no se sabe si ambos conjuntos de actividades son obra del mismo actor de amenazas.
'En términos comerciales y criminales, xlabs_v1 es de nivel medio. Es más sofisticado que el típico fork de Mirai de script-kiddie [...], pero menos sofisticado que el nivel superior de las operaciones comerciales DDoS por encargo', dijo Hunt.io. 'Este operador compite en precio y variedad de ataques, no en sofisticación técnica. Los dispositivos IoT de consumo, los routers residenciales y los pequeños operadores de servidores de juegos son el objetivo'.
Este desarrollo se produce cuando Darktrace reveló que una instancia de Jenkins intencionalmente mal configurada en su red honeypot fue atacada por actores de amenazas desconocidos para desplegar una botnet DDoS descargada desde un servidor remoto ('103.177.110[.]202'), mientras tomaban medidas para evadir la detección.
'La presencia de técnicas DoS específicas para juegos destaca aún más que la industria del juego continúa siendo un objetivo extenso de los ciberatacantes', dijo la compañía. 'Es probable que esta botnet ya haya sido utilizada contra servidores de juegos, sirviendo como recordatorio para que los operadores de servidores aseguren tener las mitigaciones adecuadas en su lugar'.
