Il team dei laboratori per le minacce di Avast ha scoperto “la botnet più sofisticata che abbiano mai visto” e si rivolge ai dispositivi IoT.

Il nuovo ceppo / botnet di malware IoT, che l'azienda ha nome in codice Torii, si è diffuso su servizi telnet male protetti con l'attacco proveniente dai nodi di uscita di Tor.

  • Abbiamo anche evidenziato il miglior antivirus

Consegna del carico utile

Secondo Avast, la catena di infezioni inizia con un attacco telnet sulle deboli credenziali dei dispositivi mirati seguita dall'esecuzione di uno script iniziale della shell. Lo script tenta di scoprire l'architettura del dispositivo di destinazione e una volta completato tenta di scaricare il carico utile appropriato per i dispositivi (file binari in formato ELF).

La funzionalità di base di questi payload è l'installazione di un ELF interno con il primo file ELF. Questo è l'eseguibile di secondo stadio che è altamente persistente e utilizza almeno sei metodi per garantire che il file ELF rimanga sul dispositivo ed è sempre in esecuzione. Dopo questo, l'ELF interno viene eseguito per fornire il payload della seconda fase, un bot completo in grado di eseguire comandi dal proprio server CnC principale.

Dettagli della minaccia

Torii deve ancora essere utilizzato negli attacchi DDoS o per il cryptojacking. Invece, il malware ruba i dati dai dispositivi IoT e consente agli aggressori di eseguire codice in remoto che potrebbe consentire loro di eseguire qualsiasi comando sulle macchine infette. Tuttavia, il malware è in grado di recuperare ed eseguire altri comandi utilizzando più livelli di crittografia.

Torii è uno dei ceppi di malware più sofisticati mai osservati da Avast. Oltre a condividere le informazioni relative ai dispositivi infetti, la comunicazione del malware con il server CnC consente agli autori di eseguire qualsiasi codice o consegnare qualsiasi carico utile a un dispositivo infetto. Ciò suggerisce che Torii potrebbe diventare una piattaforma modulare per uso futuro.

  • Questi sono i migliori strumenti gratuiti per la rimozione di malware