El código fuente de un malware que se ha publicado en GitHub ha puesto en peligro millones de routers y dispositivos, según un proveedor de seguridad, «BotenaGo» contiene exploits para más de 30 vulnerabilidades en productos de múltiples proveedores y se utiliza para propagar el malware de botnet Mirai.
Al compartir este código fuente en GitHub, los autores de este peligroso malware le han dado las herramientas a otros delincuentes para que puedan generar rápidamente nuevas variantes o usarlo como está ahora para hacer sus campañas.
Los investigadores de AT&T Alien Labs fueron los primeros en detectar este malware y le pusieron el nombre de BotenaGo. Este malware está escrito en Go, un lenguaje de programación que se ha vuelto bastante popular entre los ciberdelincuentes. En este caso viene repleto de exploits para más de 30 vulnerabilidades que afectan a muchas marcas, incluidos Linksys, D-Link, NETGEAR y ZTE.
Funcionamiento del malware
El año pasado en un análisis de AT&T Alien Labs se detectó por primera vez que el malware BotenaGo usaba dos métodos diferentes para recibir comandos para atacar a las víctimas. Estos dos procedimientos consisten en:
Utilizaban dos puertas traseras para escuchar y recibir las direcciones IP de los dispositivos de destino.
Configuraban un escucha para la entrada del usuario de E/S del sistema y recibir información de destino a través de él.
Los investigadores también descubrieron que el malware está diseñado para recibir comando de un servidor remoto, no tienen ninguna comunicación activa de comando y control. De esta manera supieron que BotenaGoera parte de un paquete de malware más amplio y probablemente una de las múltiples herramientas que utilizaban en un ataque.
La publicación del código fuente podría aumentar considerablemente las variantes de BotenaGo. La razón es que otros autores de malware utilizan y adaptan el código fuente para sus propósitos específicos y campañas de ataque. Esto va a hacer sin duda que millones de routers y dispositivos de IoT se vean afectados.
Entre las muchas vulnerabilidades que BotenaGo puede explotar encontramos:
CVE-2015-2051 que afecta a ciertos routers Wi-Fi D-Link.
CVE-2016-1555 que afecta a los productos Netgear,
CVE-2013-3307 en dispositivos Linksys.
CVE-2014-2321 que afecta a ciertos cable módem de ZTE.
Por último, un dato preocupante es que según AT&T Alien Labs únicamente tres de los 60 antivirus de VirusTotal son actualmente capaces de detectar este malware.
