EnemyBot prende di mira i server CMS e i dispositivi mobili

I ricercatori di AT&T Alien Labs hanno smontato una nuova botnet chiamata EnemyBot. Il malware sarebbe stato sviluppato e utilizzato dall'attore di minacce che si chiama Keksec, noto anche come Kek Security e Freakout.

Secondo la nuova ricerca, la botnet viene rapidamente aggiornata e ampliata con nuove funzionalità. EnemyBot mira ora a infestare un'ampia gamma di dispositivi e sistemi, comprese le unità Internet of Things, i server del sistema di gestione dei contenuti e i dispositivi mobili con Android.

Parte dell'espansione di EnemyBot e delle nuove funzionalità aggiunte includono lo sfruttamento di una serie di vulnerabilità scoperte di recente. EnemyBot stesso è un po' un mostro di Frankenstein, che si procura parti del suo codice e funzionalità da una serie di altre famigerate botnet, come Mirai e Qbot. A peggiorare le cose, le ultime versioni del codice sorgente di EnemyBot sono state pubblicate su GitHub e sono disponibili per qualsiasi attore di minacce che voglia provarlo.

Keksec, l'attore di minacce dietro EnemyBot, ha una ricca esperienza precedente con il funzionamento di malware botnet. Si ritiene che Keksec abbia sviluppato in precedenza malware botnet che prendeva di mira sia i sistemi Linux che Windows, nonché una botnet a doppio sistema basata su Python.

Tra le nuove funzionalità del malware c'è lo sfruttamento della famigerata vulnerabilità Log4j e una manciata di altri difetti di sicurezza scoperti negli ultimi due mesi.