Dark Mirai Botnet apunta a los enrutadores TP-LINK TL-24840N

Dark Mirai Botnet es una de las muchas variaciones de Mirai Botnet, que ha sido una amenaza para los dispositivos de IoT durante los últimos cinco años. Si bien el proyecto original ha estado muerto durante mucho tiempo, los operadores de malware continúan utilizando el código fuente disponible públicamente. Dark Mirai Botnet es solo uno de los muchos proyectos que hacen esto.

Esta botnet se especializa en ataques distribuidos de denegación de servicio (DDoS) y recientemente ha agregado un nuevo exploit a su colección de técnicas de ataque. Esta vulnerabilidad en particular afecta a un enrutador TP-LINK, que se lanzó en 2017: el TL-WR840N EU V5. La vulnerabilidad ya está parcheada en la última actualización de firmware para el hardware, pero, desafortunadamente, muchos usuarios todavía están ejecutando una versión desactualizada.

La vulnerabilidad, clasificada como CVE-2021-41653, permite la ejecución remota de código para usuarios autenticados. Los delincuentes lo están utilizando para ejecutar un script bash, que descargaría la carga útil final. Además de esto, el script realiza modificaciones en la configuración del enrutador para bloquear puertos específicos, evitando así que otras botnets lo infecten. Es importante agregar que Dark Mirai Botnet solo puede hacerse cargo de los dispositivos que usan las credenciales de inicio de sesión predeterminadas; esta vulnerabilidad no se puede utilizar sin las credenciales de administrador.

Una vez que el implante está funcionando, los delincuentes pueden controlarlo de forma remota y ordenarle que ejecute un ataque DDoS. Parece que Dark Mirai Botnet no tiene otro uso, y los delincuentes la utilizan exclusivamente para desconectar servicios y sitios web. Puede proteger sus dispositivos de Dark Mirai Botnet y amenazas similares utilizando el último firmware disponible y eligiendo una contraseña segura para todas las cuentas con privilegios escalados.