Molte botnet sfruttano i dispositivi IoT (Internet of Things) perché vengono aggiornati meno frequentemente rispetto ai computer. Microsoft ha scoperto che gli operatori di Zerobot hanno aggiunto altre funzionalità e il supporto per un numero maggiore di dispositivi da utilizzare per lanciare attacchi DDoS (Distributed Denial of Service).
Zerobot: nuova versione più pericolosa
Zerobot è stata individuata a metà novembre dai ricercatori di Fortinet. Il codice del malware supporta diverse architetture e dispositivi, tra cui router, firewall e videocamere di sorveglianza. L’accesso avviene sfruttando vulnerabilità note dei prodotti.
Gli esperti di Microsoft hanno scoperto e descritto le nuove funzionalità di Zerobot 1.1. Questa versione può sfruttare altre sette vulnerabilità, tra cui quelle dei server Apache e Apache Spark. In alcuni casi viene effettuato un attacco brute force per indovinare le credenziali di login e accedere tramite connessioni SSH o Telnet.
Dopo aver ottenuto l’accesso ai dispositivi, Zerobot inietta uno script che scarica il client della botnet compatibile con la specifica architettura. Per la persistenza (avvio automatico) utilizza vari meccanismi in base al sistema operativo. Microsoft ha individuato nel codice altre funzionalità DDoS, tra cui quelli usate contro i server Minecraft.
L’azienda di Redmond consiglia di scegliere password robuste, installare le ultime patch di sicurezza e usare una soluzione di sicurezza che rileva e blocca il malware.