Se ha observado una nueva botnet basada en Go llamada, «Zerobot», en Internet que estaría explotando casi dos docenas de vulnerabilidades de seguridad en dispositivos de Internet de las cosas (IoT) y otros softwares muy usados en el sector tecnologico.
La botnet «contiene varios módulos, incluida la autorreplicación, los ataques para diferentes protocolos y la autopropagación«, dijo la investigadora de Fortinet FortiGuard Labs, Cara Lin. «También se comunica con su servidor de comando y control utilizando el protocolo WebSocket«.
La campaña, que se dice que comenzó después del 18 de noviembre de 2022, destaca principalmente el sistema operativo Linux para obtener el control de los dispositivos vulnerables.
Zerobot obtiene su nombre de un script de propagación que se utiliza para recuperar la carga maliciosa después de obtener acceso a un host dependiendo de su implementación de microarquitectura (por ejemplo, «zero.arm64«).
El malware está diseñado para apuntar a una amplia gama de arquitecturas de CPU como i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 y s390x.
Hasta la fecha se han visto dos versiones de Zerobot: una utilizada antes del 24 de noviembre de 2022, que viene con funciones básicas y una variante actualizada que incluye un módulo de autopropagación para violar otros puntos finales utilizando 21 exploits.
Esto incluye vulnerabilidades que afectan a los enrutadores TOTOLINK, firewalls Zyxel, F5 BIG-IP, cámaras Hikvision, cámaras termográficas FLIR AX8, D-Link DNS-320 NAS y Spring Framework, entre otros.
Zerobot, tras la inicialización en la máquina comprometida, establece contacto con un servidor de comando y control remoto (C2) y espera instrucciones adicionales que le permitan ejecutar comandos arbitrarios y lanzar ataques para diferentes protocolos de red como TCP, UDP, TLS, HTTP e ICMP.
«En muy poco tiempo, se actualizó con ofuscación de cadenas, un módulo de copia de archivos y un módulo de explotación de propagación que lo hace más difícil de detectar y le da una mayor capacidad para infectar más dispositivos«, dijo Lin.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
