D-Link: botnet di malware sfruttano i router obsoleti negli attacchi

Due botnet tracciate come "Ficora" e "Capsaicin" hanno registrato un'attività crescente nel prendere di mira i router D-Link che hanno raggiunto la fine del ciclo di vita o che eseguono versioni obsolete del firmware. L'elenco degli obiettivi include i dispositivi D-Link più diffusi utilizzati da individui e organizzazioni come DIR-645, DIR-806, GO-RT-AC750 e DIR-845L. Per l'accesso iniziale, i due malware utilizzano exploit noti per CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112. Una volta che un dispositivo è compromesso, gli aggressori sfruttano le debolezze nell'interfaccia di gestione di D-Link (HNAP). In seguito, eseguono comandi dannosi tramite un'azione GetDeviceSettings.

Le botnet possono rubare dati ed eseguire script shell. Gli aggressori sembrano compromettere i dispositivi per scopi di negazione del servizio distribuita (DDoS). Ficora ha una distribuzione geografica diffusa con una certa attenzione su Giappone e Stati Uniti. Capsaicin sembra prendere di mira principalmente dispositivi nei paesi dell'Asia orientale e ha aumentato la sua attività per soli due giorni, a partire dal 21 ottobre.

D-Link: i dettagli delle botnet Ficora e Capsaicin

Ficora è una variante recente della botnet Mirai, adattata specificamente per sfruttare i difetti nei dispositivi D-Link. Secondo i dati di telemetria di Fortinet, la botnet mostra un targeting casuale, con due picchi notevoli nella sua attività durante ottobre e novembre. Dopo aver ottenuto l'accesso iniziale sui dispositivi D-Link, Ficora utilizza uno script shell denominato "multi" per scaricare ed eseguire il suo payload tramite metodi multipli come wget, curl, ftpget e tftp. Il malware include un componente di forza bruta integrato con credenziali hard-coded per infettare altri dispositivi basati su Linux, mentre supporta più architetture hardware. Per quanto riguarda le sue capacità DDoS, supporta il flooding UDP, il flooding TCP e l'amplificazione DNS per massimizzare la potenza dei suoi attacchi.

Capsaicin è una variante di Kaiten. Si tratta di un malware sviluppato da Keksec, noto per "EnemyBot" e altri malware che colpiscono i dispositivi Linux. Fortinet l'ha osservata solo in una serie di attacchi tra il 21 e il 22 ottobre nei paesi dell'Asia orientale. L'infezione avviene tramite uno script di download ("bins.sh"), che recupera file binari con il prefisso "yakuza" per diverse architetture, come arm, mips, sparc e x86. Il malware cerca attivamente altri payload di botnet attivi sullo stesso host e li disattiva. Oltre alle sue capacità DDoS, Capsaicin può anche raccogliere informazioni sull'host e trasferirle al server di comando e controllo (C2) per il tracciamento.

Un modo per prevenire le infezioni da malware botnet su router e dispositivi IoT è assicurarsi che eseguano la versione firmware più recente. Se il dispositivo ha raggiunto la fine del ciclo di vita e non riceve più aggiornamenti di sicurezza, dovrebbe essere sostituito con un nuovo modello. Come consiglio generale, è bene usare password univoche e complesse e disabilitare le interfacce di accesso remoto se non sono necessarie.