Los investigadores de Qihoo 360 han descubierto una nueva botnet gigantesca capaz de lanzar más de 100 ataques por día.
El actor de amenazas apunta a dispositivos como enrutadores, DVR y servidores con malware conocido como Fodcha. En menos de un mes, los investigadores encontraron que los actores de amenazas lograron infectar más de 62,000 dispositivos con el malware Fodcha.
En cualquier momento, se utilizan alrededor de 10 000 dispositivos para lanzar ataques de denegación de servicio distribuido (DDoS), utilizando los servicios de China Unicom (59 %) y China Telecom (39 %).
Apunta a cientos de víctimas diariamente
“Según los datos directos de la comunidad de seguridad con la que trabajamos, la cantidad de bots diarios en vivo supera los 56,000”, dijeron los investigadores. «La infección global parece bastante grande porque solo en China hay más de 10,000 bots activos (IP) diarios y también más de 100 víctimas DDoS atacadas diariamente».
Para comprometer los puntos finales, los atacantes usan una serie de exploits que aprovechan las vulnerabilidades de n-day en dispositivos y servicios, incluidos Android ADB Debug Server RCE, Realtek Jungle SDK, enrutadores TOTOLINK, enrutadores ZHONE y otros.
Además, la botnet apunta a MIPS, MPSL, ARM, x86 y otras arquitecturas de CPU.
El dominio inicial utilizado para comando y control (C2), doblado[.]en, fue cerrado por el vendedor el 19 de marzo, agregaron los investigadores. Después de eso, los actores de amenazas migraron a neveraxpertos.[.]CC.
«El cambio de v1 a v2 se debe al hecho de que su proveedor de nube detuvo los servidores C2 correspondientes a la versión v1, por lo que los operadores de Fodcha no tuvieron más remedio que relanzar la v2 y actualizar C2», dijeron los investigadores.
«El nuevo C2 está asignado a más de una docena de direcciones IP y se distribuye en varios países, incluidos Estados Unidos, Corea, Japón e India, involucra a más proveedores de nube como Amazon, DediPath, DigitalOcean, Linode y muchos más».
Vía: BleepingComputer
