La actualización del malware Zerobot ataca a los dispositivos IoT

Está activa la actualización de una red de bots descubierta a finales del año pasado, que aprovecha las vulnerabilidades de los dispositivos de Internet de las Cosas (IoT) para hacerse con el control de los sistemas atacados. Revelado inicialmente por FortiGuard Labs,, el malware Zerobot se ha actualizado varias veces desde que el equipo de investigación de Microsoft Defender comenzó a vigilarlo. La versión Zerobot 1.1 incluye funciones para explotar vulnerabilidades en más sistemas y nuevas herramientas de ataque DDoS.

Escrito en lenguaje Go, Zerobot contiene varios módulos, como los de autorreplicación, autopropagación y uno dirigido a ataques que utilizan distintos protocolos, y se ofrece como parte de un esquema de malware como servicio. Según security/blog/2022/12/21/microsoft-research-uncovers-new-zerobot-capabilities/" target="_blank" rel="noopener">Microsoft, se identificó un dominio con vínculos a Zerobot entre varios otros asociados a servicios DDoS de alquiler incautados por el FBI en diciembre de 2022. Microsoft rastreó incluso anuncios de la red de bots Zerobot en redes sociales y anuncios relacionados con la venta y el mantenimiento del malware, y también identificó nuevas funciones en desarrollo. La empresa registra estas actividades como DEV-1061.

La distribución Zerobot 1.1 ahora puede explotar vulnerabilidades en Apache y Apache Spark, así como en los sistemas MiniDVBLinux DVR, Grandstream y Roxy-WI GUI. Además, aporta herramientas para realizar ataques DDoS. Las nuevas funciones permiten seleccionar determinados recursos y hacerlos inaccesibles. Los ataques DDoS exitosos pueden utilizarse para exigir el pago de rescates, desviar la atención de otras actividades maliciosas o interrumpir las operaciones. A continuación se enumeran los distintos métodos usados por Zerobot para lanzar ataques DDoS, como el envío de paquetes UDP y TCP con cargas útiles personalizables.

La red de bots Zerobot afecta a varios dispositivos, como cortafuegos, routers y cámaras, y los agrupa en una red de bots de denegación de servicio distribuida (DDoS). Puede infectar a víctimas vulnerables en diversas arquitecturas, sistemas operativos y protocolos.

Al estar más expuestos a Internet y contar con sistemas sin parches y mal protegidos, los dispositivos IoT son objetivos frecuentes del malware Zerobot, que se propaga por las rutas IoT aplicando ataques de fuerza bruta a dispositivos con configuraciones inseguras utilizando credenciales por defecto o débiles. El malware intenta acceder a los dispositivos a través de una combinación de ocho nombres de usuario y 130 contraseñas comunes para dispositivos IoT.

Los investigadores de Microsoft identificaron varios intentos de conexiones SSH y telnet en los puertos estándar 22 y 23, así como intentos de abrir los puertos 80, 8080, 8888 y 2323.

Para obtener acceso a los dispositivos, el malware Zerobot inyecta un script llamado zero.sh que descarga e intenta ejecutar código malicioso para una arquitectura específica. También puede intentar descargar diferentes binarios e intenta identificar por fuerza bruta la arquitectura, ya que los dispositivos IoT suelen utilizar unidades de procesamiento de diferentes plataformas. Microsoft ha observado scripts para arquitecturas como ARM64, MIPS y x86_64. Dependiendo del sistema operativo de los dispositivos, el malware emplea diferentes mecanismos de persistencia, tácticas utilizadas para obtener y mantener el control de acceso.

¿Qué es una red de bots IoT?

IoT botnet es una red de dispositivos conectados al Internet de las Cosas (IoT) que han sido infectados por malware (específicamente IoT botnet malware) y han caído en manos de actores maliciosos. En general, las botnets se utilizan para lanzar ataques distribuidos de denegación de servicio (DDoS) y se anuncian en foros clandestinos, lo que las hace fácilmente accesibles a los ciberdelincuentes.

Suelen controlarse desde un único servidor de Mando y Control (C&C) conectado a dispositivos infectados, denominados “bots”. Sin embargo, algunas redes de bots prescinden del servidor de C&C y adoptan redes P2P (peer-to-peer), lo que las hace más difíciles de desmantelar. Esta amenaza ya es una realidad, y se han identificado cinco familias de botnets IoT P2P: Wifatch, Hajime, Hide ‘n’ Seek (HNS), Mozi y HEH.

Trend Micro enumera tres códigos principales de malware utilizados en botnets IoT, cuyas características muestran su naturaleza y cómo suelen operar. Suelen ser de código abierto para facilitar la generación de variantes. Estas tres clases de malware son:

• Kaiten – También llamado por Tsunami, es el código menos conocido de los tres. Aunque se hizo público en 2001, sigue siendo popular entre los ciberdelincuentes y los script kiddies (personas sin conocimientos técnicos que utilizan scripts de terceros). El código Kaiten se propaga a través de servicios Telnet utilizando la fuerza bruta. Sus variantes más recientes tienen una función kill-bot que elimina las infecciones anteriores.

• Qbot – Este código de malware de botnet IoT es un poco más reciente que Kaiten (apareció en 2008), pero sigue siendo popular entre los ciberdelincuentes. Sus otros nombres son Bashlite, Gafgyt, Lizkebab o Torlus. Sus variantes también tienen una función para eliminar bots anteriores.

• Mirai – Es el código más conocido de los tres. Apareció en 2016 y se desarrolló como una herramienta DDoS para la venta y principalmente para gamers. Algunas variantes tienen la capacidad de eliminar infecciones más antiguas y monopolizar completamente los dispositivos.

Esta función de cancelación de infecciones apunta a una posible disputa entre operadores de código malicioso para botnets IoT. Puede sonar saludable, algo bueno, pero una visión menos ingenua pone de relieve un enfoque cruzado entre ejércitos virtuales cuyas principales víctimas son el número cada vez mayor de usuarios del Internet de las Cosas, particulares o grandes organizaciones como proveedores de servicios sanitarios o esenciales.