BOTNETS FICORA Y CAPSAICIN EXPLOTAN ANTIGUASVULNERABILIDADES EN ROUTERS D-LINK PARA ATAQUES DDoS

Los investigadores en ciberseguridad han alertado sobre un aumento en la actividad maliciosa que involucra routers D-Link vulnerables, que están siendo incorporados a dos botnets: FICORA (una variante de Mirai) y CAPSAICIN (una variante de Kaiten). Estos botnets explotan vulnerabilidades en el protocolo HNAP, que permite a los atacantes ejecutar comandos maliciosos remotamente. FICORA ha afectado a varios países globalmente, mientras que CAPSAICIN se ha centrado en Asia, especialmente Japón y Taiwán, con una actividad destacada en octubre de 2024.

Los ataques se propagan aprovechando vulnerabilidades documentadas de D-Link.

El malware de FICORA incluye un script descargador que obtiene un payload para diferentes arquitecturas de Linux, además de capacidades para realizar ataques de fuerza bruta y DDoS utilizando protocolos UDP, TCP y DNS.

EL ATAQUE

El ataque comienza con la descarga de un script de shell llamado «multi» que utiliza varios métodos, incluidos wget, ftpget, curl y tftp para descargar el malware real. Este script de descarga primero elimina todos los procesos con la misma extensión de archivo que el malware “FICORA”. Luego descarga y ejecuta sus diversos programas maliciosos apuntando a diferentes arquitecturas de Linux, incluyendo “arc”, “arm”, “arm5”, “arm6”, “arm7”, “i486”, “i586”, “i686”, “m68k”, “mips”, “mipsel”, “powerpc”, “powerpc-440fp” y “sparc”.

Facebook
LinkedIn
Twitter

Últimas Publicaciones