TOP. 1
Big Momma's House
Big Momma's House
Amazon Prime Video (Video on Demand); Martin Lawrence, Nia Long, Paul Giamatti (Actors); Raja Gosnell (Director) - Darryl J. Quarles (Writer) - David T. Friendly (Producer)

Esta nueva botnet ha reclutado un ejercito de dispositivos Windows
Los investigadores de seguridad del equipo ThreatLabZ de Zscaler han descubierto y analizado una nueva familia de malware basado en Linux que los ciberdelincuentes utilizan para atacar servidores Linux que ejecutan aplicaciones comerciales.

La compañía de ciberseguridad apodó la nueva familia de malware DreamBus y en realidad es una variación de una botnet más antigua llamada SytemdMiner que apareció por primera vez en 2019. Sin embargo, las versiones actuales de DreamBus incluyen varias mejoras sobre SystemdMiner.

La botnet DreamBus se utiliza actualmente para apuntar a una serie de aplicaciones empresariales populares, incluidas PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH, todas las cuales se ejecutan en servidores Linux.

Si bien algunas de estas aplicaciones han sido atacadas con ataques de fuerza bruta, otras han sido atacadas usando comandos maliciosos enviados a puntos finales de API expuestos o usando exploits para vulnerabilidades anteriores.

DreamBus Zombie Network

Los ciberdelincuentes que implementan DreamBus lo hacen en un esfuerzo por afianzarse en los servidores Linux, donde pueden descargar e instalar una aplicación de código abierto utilizada para minar la criptomoneda Monero (XMR). Además, cada servidor infectado forma parte de la botnet,

Según Zscaler, DreamBus utiliza varias medidas para evitar la detección, incluido que el malware se comunique con el servidor de comando y control (C&C) de la botnet mediante el nuevo protocolo DNS-over-HTTPS (DoH), que es muy complejo de configurar. El servidor C&C también está alojado en la red Tor usando una dirección .onion para que sea más difícil de eliminar.

El director de inteligencia de amenazas de Zscaler, Brett Stone-Gross, explicó en un nuevo informe que será difícil encontrar al actor de amenazas detrás de DreamBus debido a la forma en que se han estado escondiendo usando Tor. y sitios web de intercambio de archivos anónimos, que dicen:

“Si bien DreamBus se está utilizando actualmente para la minería de criptomonedas, el actor de amenazas podría recurrir a actividades más disruptivas como el ransomware. Además, otros grupos de amenazas podrían utilizar las mismas técnicas para infectar sistemas y comprometer información confidencial que puede ser robada y monetizada fácilmente. El actor de amenazas DreamBus continúa innovando y agregando nuevos módulos para comprometer más sistemas, y lanza actualizaciones y correcciones de errores con regularidad. Es probable que el actor de amenazas detrás de DreamBus continúe operando en el futuro previsible, escondido detrás de TOR y sitios web de intercambio de archivos anónimos. »

Vía ZDNet

Share This