Este malware convierte tu router en parte de un ejercito para hacer ataques DDoS a Steam

Las botnets son cada vez más abundantes y peligrosas. Los atacantes se aprovechan de fallos de seguridad para instalar malware en cualquier dispositivo conectado a Internet para formar un ejército de pequeños dispositivos capaces de realizar ataques DDoS al objetivo que ellos decidan. Ahora, una nueva botnet es capaz de tomar el control de routers de Zyxel y Huawei, además de aquellos que usen un chipset concreto de Realtek.

32.000 dispositivos son vulnerables, y pueden formar parte de una botnet

Los routers afectados son el ZYXEL P660HN-T1A y el Huawei HG532, además del chipset Realtek RTL81XX. El ataque se está realizando a través de una nueva versión de la botnet Gafgyt, y está utilizándose para atacar servidores que estén ejecutando el motor Source de Valve.

Para ello, utilizan tres vulnerabilidades presentes en los dispositivos mencionados, donde las de Huawei (CVE-2017-17215) y las de Realtek (CVE-2014-8361) ya se utilizaban por JenX, otra botnet de la cual deriva Gafgyt. La de Zyxel es la que no se había aprovechado hasta ahora, con código CVE-2017-18368.

Como se ve en el código de las vulnerabilidades, la de Realtek se conoce desde 2014, mientras que las otras desde 2017. Sin embargo, como suele ser muy común en routers antiguos o en dispositivos del IoT, los parches llegan muy tarde, o incluso ni llegan. Tanto es así, que los investigadores descubrieron sólo en Shodan unos 32.000 dispositivos vulnerables a estos fallos de seguridad y que prácticamente cualquier hacker puede aprovechar para incluir esos dispositivos en una botnet.

La botnet ataca a servidores que alojen partidas de juegos de Valve

La botnet Gafgyt es bastante sofisticada, ya que puede ejecutar a la vez distintos tipos de ataques DDoS. En este caso, curiosamente, el ataque iba destinado a los servidores de juegos que estén ejecutando el VSE (Valve Source Engine), tal y como aparecía en el código del malware. Esto hace que el ataque no esté destinado a un juego concreto, sino a cualquier servidor o dispositivo que tenga instalado el motor Source de Valve, como puede ser Team Fortress 2, CS:GO o Dota 2. Cualquier persona puede crear un servidor en estos juegos, y si el malware encuentra que estamos ejecutando el código y nuestro routers es vulnerable, nos atacará.

Además, los investigadores que han descubierto el malware también han encontrado que Gafgyt busca código de otras botnets contra los que compite para intentar desactivarlo para quedarse él el dispositivo vulnerable y que no sea otra botnet la que lo aprovecha para hacer ataques. Entre esos competidores se encuentran JenX, Hakai, Miori, Satori, y Mirai, y el malware busca nombres binarios o palabras clave que sólo estén presentes en ellos.

Los atacantes venden los ataques de sus botnets a través de Instagram, donde la mayoría de ataques se intentan llevar a cabo contra Fortnite. Cobran entre 7 y 150 dólares dependiendo de la cantidad de ataques y la duración de los mismos. El de 150 dólares ofrece 500 segundos para ataques, con 5 ataques a la vez.

Fuente: Bleeping Computer | adslzone