NoaBot: un nuovo malware basato sul codice Mirai
Una botnet recentemente emersa denominata NoaBot, basata su Mirai, è stata utilizzata dagli autori di minacce in una campagna di mining di criptovalute dall'inizio del 2023. Secondo un rapporto del ricercatore di sicurezza Stiv Kupchik, NoaBot vanta funzionalità come un worm che si diffonde automaticamente e una backdoor con chiave SSH, che consente il download e l'esecuzione di file binari aggiuntivi o la propagazione a nuove vittime.
Mirai, il cui codice sorgente è trapelato nel 2016, ha dato origine a varie botnet, l'ultima delle quali è InfectedSlurs, in grado di lanciare attacchi DDoS (Distributed Denial of Service). Ci sono indicazioni che NoaBot potrebbe avere connessioni con un'altra campagna botnet che coinvolge una famiglia di malware basata su Rust nota come P2PInfect, recentemente aggiornata per prendere di mira router e dispositivi IoT.
NoaBot si affida allo scanner SSH per cercare le vulnerabilità
Le prove suggeriscono che gli autori delle minacce hanno sperimentato la sostituzione di P2PInfect con NoaBot nei recenti attacchi ai server SSH, suggerendo potenziali sforzi per passare a malware personalizzati. Nonostante la fondazione Mirai di NoaBot, il suo modulo di diffusione utilizza uno scanner SSH per identificare i server vulnerabili agli attacchi del dizionario, consentendogli di applicare la forza bruta e aggiungere una chiave pubblica SSH per l'accesso remoto. Facoltativamente, può scaricare ed eseguire file binari aggiuntivi dopo uno sfruttamento riuscito o diffondersi a nuove vittime.
In particolare, NoaBot si distingue dalle altre campagne basate sulla botnet Mirai perché la sua variante è priva di informazioni sul pool minerario o sull'indirizzo del portafoglio, rendendo difficile valutare la redditività dello schema di mining illecito di criptovaluta. I ricercatori hanno identificato 849 indirizzi IP delle vittime, geograficamente dispersi in tutto il mondo, con una concentrazione significativa in Cina, che rappresenta quasi il 10% di tutti gli attacchi contro i suoi honeypot nel 2023.