Dark Mirai Botnet zielt auf TP-LINK TL-24840N Router

Das Dark Mirai Botnet ist eine der vielen Variationen des Mirai Botnet, das seit fünf Jahren eine Bedrohung für IoT-Geräte darstellt. Während das ursprüngliche Projekt schon lange tot ist, wird der öffentlich zugängliche Quellcode weiterhin von Malware-Betreibern verwendet. Das Dark Mirai Botnet ist nur eines von vielen Projekten, die dies tun.

Dieses Botnet ist auf Distributed-Denial-of-Service (DDoS)-Angriffe spezialisiert und hat kürzlich seine Sammlung von Angriffstechniken um einen neuen Exploit erweitert. Diese besondere Schwachstelle betrifft einen TP-LINK-Router, der 2017 veröffentlicht wurde – den TL-WR840N EU V5. Die Schwachstelle ist bereits im neuesten Firmware-Update für die Hardware gepatcht, aber leider verwenden viele Nutzer noch eine veraltete Version.

Die Schwachstelle, klassifiziert als CVE-2021-41653, ermöglicht Remotecodeausführung für authentifizierte Benutzer. Die Kriminellen verwenden es, um ein Bash-Skript auszuführen, das die endgültige Nutzlast herunterlädt. Darüber hinaus nimmt das Skript Änderungen an der Konfiguration des Routers vor, um bestimmte Ports zu blockieren und so eine Infektion durch andere Botnetze zu verhindern. Es ist wichtig hinzuzufügen, dass das Dark Mirai Botnet nur Geräte übernehmen kann, die die Standard-Anmeldeinformationen verwenden – diese Schwachstelle ist ohne Administrator-Anmeldeinformationen unbrauchbar.

Sobald das Implantat in Betrieb ist, können die Kriminellen es aus der Ferne steuern und ihm befehlen, einen DDoS-Angriff auszuführen. Es scheint, dass das Dark Mirai Botnet keinen anderen Nutzen hat und die Kriminellen es ausschließlich verwenden, um Dienste und Websites offline zu nehmen. Sie können Ihre Geräte vor dem Dark Mirai Botnet und ähnlichen Bedrohungen schützen, indem Sie die neueste verfügbare Firmware verwenden und ein sicheres Passwort für alle Konten mit erweiterten Berechtigungen auswählen.