NoaBot: La evolución de Mirai centrada en la minería de criptomonedas

Un reciente informe de seguridad de Akamai ha puesto al descubierto la existencia de una novedosa botnet derivada de Mirai, denominada NoaBot. Ha sido empleada por actores maliciosos desde los primeros meses de 2023, formando parte de una extensa campaña de minería de criptomonedas.

Según Stiv Kupchik, investigador de seguridad en Akamai, NoaBot destaca por sus atributos, entre los cuales se incluyen la capacidad de auto-propagación mediante gusanos y una backdoor de clave SSH para la descarga y ejecución de binarios adicionales, así como para la expansión a nuevas víctimas.

Mirai, cuyo código fuente se filtró en 2016, ha sido la base de diversas botnets, siendo el más reciente InfectedSlurs, que puede llevar a cabo ataques distribuidos de denegación de servicio (DDoS).

Hay evidencias que sugieren una posible vinculación de NoaBot con otra campaña de botnets que involucra una familia de malware basada en Rust llamada P2PInfect, que recientemente recibió una actualización para atacar también routers y dispositivos IoT. Esto se basa en el hecho de que los atacantes han experimentado con el despliegue de P2PInfect en lugar de NoaBot en ataques recientes dirigidos a servidores SSH. Esto indica posibles intentos de transición a malware personalizado.

A pesar de que NoaBot tiene sus raíces en Mirai, su módulo difusor utiliza un escáner SSH para buscar servidores susceptibles a ataques de diccionario, realizando ataques de fuerza bruta y añadiendo una clave pública SSH en el archivo .ssh/authorized_keys para permitir el acceso remoto. Opcionalmente, también puede descargar y ejecutar binarios adicionales tras una explotación exitosa o propagarse a nuevas víctimas.

«El malware NoaBot está compilado con uClibc, alterando la forma en que los motores antivirus detectan el malware. Mientras que otras variantes de Mirai suelen ser detectadas con una firma específica, las firmas antivirus de NoaBot son de un escáner SSH o de un troyano genérico».

Señaló Kupchik, investigador de seguridad en Akamai.

Además de incorporar tácticas de ofuscación para dificultar el análisis, la cadena de ataque concluye con la implementación de una versión modificada del minero de criptomonedas XMRig.

Lo que distingue a esta nueva variante de otras campañas similares basadas en la botnet Mirai es la ausencia de información sobre el grupo de minería o la dirección de la billetera, volviendo imposible evaluar la rentabilidad del ilícito esquema de minería de criptomonedas.

El minero además, ofusca su configuración y utiliza un grupo de minería personalizado para evitar exponer la dirección de la billetera utilizada, lo que evidencia un nivel de preparación elevado por parte de los actores maliciosos.

Akamai ha informado que hasta la fecha identificó 849 direcciones IP de víctimas distribuidas globalmente, con concentraciones elevadas en China, representan casi el 10% de todos los ataques contra sus honeypots en 2023.

«El método de movimiento lateral del malware es a través de ataques de diccionario de credenciales SSH básicas. Restringir el acceso SSH a la red a través de internet disminuye significativamente los riesgos de infección. Además, el uso de contraseñas fuertes (no predeterminadas o generadas al azar) también mejora la seguridad, ya que el malware utiliza una lista básica de contraseñas fácilmente adivinables».

Comentó Kupchik, investigador de seguridad en Akamai.

Más información:

• https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining
• https://github.com/akamai/akamai-security-research/tree/main/malware/noabot/credentials
• https://github.com/akamai/akamai-security-research/tree/main/malware/noabot/credentials

La entrada NoaBot: La evolución de Mirai centrada en la minería de criptomonedas se publicó primero en Una al Día.