Una nueva botnet llamada “Gorillabot” ha ajustado más de 300,000 comandos de ataque en más de 100 países en solo tres semanas.
Construido sobre el infame marco de botnet Mirai, Gorillabot representa la evolución del malware sofisticado. Aprovecha técnicas avanzadas de cifrado y evasión para dirigir a las industrias que van desde telecomunicaciones hasta finanzas y educación.
Las actividades de Gorillabot, descubiertas por el equipo de caza de amenazas globales de NSFocus, fueron rastreadas entre el 4 y el 27 de septiembre, durante el cual llevaron a cabo una gran ola de ataques.
El malware está diseñado para secuestrar a nivel mundial los dispositivos vulnerables y se traduce en herramientas para ataques de denegación de servicio distribuido (DDO) y otras actividades maliciosas.
La capacidad de penetrar en varios sectores plantea preocupación entre los expertos en ciberseguridad y conduce a demandas inmediatas de contramedidas. Any.Run’s Interactive Sandbox ofrece múltiples beneficios para un análisis detallado de malware.
A diferencia de sus predecesores, Mirai y Gorillabot tienen algoritmos de cifrado personalizados y medidas de rebelión integradas en ellos, lo que dificulta significativamente la detección y el análisis.
Análisis de Mohamed Talaat. Run explica que estas mejoras le permiten evitar medidas de seguridad tradicionales mientras mantiene la comunicación robusta con los servidores de comando y control (C2).
Ver análisis en cualquiera. Run Interactive Sandbox
Cómo funciona Gorillabot
Las operaciones de Gorillabot comienzan con la infección de un dispositivo a través de una vulnerabilidad en un sistema de Internet de las cosas (IoT) u otro punto final inseguro. Una vez comprometido, el malware utiliza enchufes TCP sin procesar para establecer la comunicación con el servidor C2.
Esta comunicación está protegida utilizando cifrados personalizados similares a XTEA que cifre y descifran los datos intercambiados entre la botnet y sus controladores.
El malware también emplea mecanismos de autenticación avanzados, incluida la generación de tokens únicos basados en SHA-256. Esto asegura que solo las instancias de BOT legítimas puedan interactuar con la infraestructura C2, evitando efectivamente el acceso no autorizado.
Una vez autenticado, Gorillabot recibe un comando de ataque codificado que se descifra y se analiza para la ejecución. Estos comandos instruyen al botnet que inicie un ataque objetivo contra un sistema o red en particular.
Para obtener más información sobre la capacidad de evasión de malware para manejar órdenes de ataque simples y complejas, refleja las capacidades de Mirai, pero usa adiciones sofisticadas.
Los creadores de Gorillabot incorporan múltiples capas de técnicas de evasión para evitar la detección. Antes de comenzar cualquier operación importante, el malware realiza una verificación para determinar si se está ejecutando en un entorno virtualizado o contenedorizado que los investigadores a menudo usan para el análisis. Por ejemplo:
Verifique los artefactos a nivel del sistema como el sistema de archivos /PROC para determinar si se están ejecutando en una máquina legal. Busque indicadores relacionados con Kubernetes como “kubepods” en el archivo/proc/1/cgroup. Si se encuentra dicho marcador, el malware se terminará inmediatamente.
Además, Gorillabot utiliza medidas de prevención del desarrollo, como inspeccionar los campos PID trazadores en/proc/self/status para detectar si la herramienta de depuración está monitoreando. Si se detecta actividad sospechosa, el malware saldrá sin ejecutar la carga útil.
Al introducir nuevos métodos de cifrado y tácticas de evasión, los atacantes han demostrado cómo las antiguas malware se pueden activar en una herramienta formidable para el delito cibernético.
Any. Se alienta a la organización a:
Periódicamente parche las vulnerabilidades en dispositivos IoT y otros sistemas en red. Implementa un sistema avanzado de detección de intrusos que puede identificar las comunicaciones C2 cifradas. Use herramientas de sandbox como cualquiera. Run para análisis de comportamiento de malware en tiempo real.
A medida que Gorillabot continúa su alboroto global, la necesidad de esfuerzos internacionales coordinados para abordar las botnets ha sido más crítica que nunca. Ya se han liberado más de 300,000 ataques en más de 100 países.
Investigue enlaces maliciosos del mundo real y ataques de phishing con búsqueda de inteligencia de amenazas: pruébelo gratis