La botnet Dark Mirai prende di mira i router TP-LINK TL-24840N
La botnet Dark Mirai è una delle tante varianti della botnet Mirai, che negli ultimi cinque anni è stata una minaccia per i dispositivi IoT. Sebbene il progetto originale sia morto da molto tempo, il codice sorgente disponibile pubblicamente continua a essere utilizzato dagli operatori di malware. The Dark Mirai Botnet è solo uno dei tanti progetti che fanno questo.
Questa botnet è specializzata in attacchi DDoS (Distributed Denial of Service) e ha recentemente aggiunto un nuovo exploit alla sua raccolta di tecniche di attacco. Questa particolare vulnerabilità interessa un router TP-LINK, che è stato rilasciato nel 2017 – il TL-WR840N EU V5. La vulnerabilità è già stata corretta nell'ultimo aggiornamento del firmware per l'hardware ma, sfortunatamente, molti utenti utilizzano ancora una versione obsoleta.
La vulnerabilità, classificata come CVE-2021-41653, consente l'esecuzione di codice in modalità remota per utenti autenticati. I criminali lo stanno usando per eseguire uno script bash, che scaricherà il payload finale. Oltre a ciò, lo script apporta modifiche alla configurazione del router in modo da bloccare porte specifiche, impedendo così ad altre botnet di infettarlo. È importante aggiungere che Dark Mirai Botnet può rilevare solo i dispositivi che utilizzano le credenziali di accesso predefinite: questa vulnerabilità è inutilizzabile senza credenziali di amministratore.
Una volta che l'impianto è in esecuzione, i criminali possono controllarlo da remoto, ordinandogli di eseguire un attacco DDoS. Sembra che il Botnet Dark Mirai non abbia altro uso e che i criminali lo stiano usando esclusivamente per mettere offline servizi e siti web. È possibile proteggere i dispositivi dalla botnet Dark Mirai e da minacce simili utilizzando l'ultimo firmware disponibile e scegliendo una password sicura per tutti gli account con privilegi aumentati.