Dark Mirai Botnet

Nonostante la botnet Mirai sia stata chiusa anni fa, la sua eredità continua a vivere. Dopo il rilascio del codice sorgente della botnet, molti criminali informatici lo hanno utilizzato come base per creare le proprie versioni del malware. Una delle propaggini di Mirai che è ancora attiva è tracciata dalla comunità infosec come Dark Mirai (aka MANGA). E secondo i ricercatori di Fortinet che stanno monitorando le attività di questa botnet, i suoi operatori continuano a dotarla di nuove vulnerabilità da sfruttare.

Uno degli ultimi aggiunti al Dark Mirai ha un impatto su una linea di famosi router domestici TP-Link. Più specificamente, il modello interessato è TL-WR840N EU V5 rilasciato nel 2017. La particolare vulnerabilità - CVE-2021-41653 consente a un utente autenticato di eseguire comandi sul dispositivo a causa di una variabile "host" vulnerabile. Va notato che TP-Link ha affrontato il problema con il rilascio di un aggiornamento del firmware il 12 novembre 2021, quindi gli hacker di Dark Mirai fanno affidamento su utenti che non aggiornano i propri dispositivi e rimangono vulnerabili.

Dopo aver scoperto un dispositivo adatto, gli aggressori sfrutteranno la vulnerabilità CVE-2021-41653 per scaricare e quindi eseguire uno script denominato "tshit.sh". Questo script è quindi responsabile del recupero dei payload principali tramite due richieste. A causa del fatto che gli aggressori devono essere autenticati, gli utenti che stanno ancora utilizzando le credenziali predefinite per il loro router sono quelli che hanno maggiori probabilità di essere compromessi.

Una volta implementato, Dark Mirai identificherà l'architettura del router infetto e quindi procederà a recuperare un payload appropriato. La minaccia isolerà quindi il dispositivo da potenziali infiltrazioni da altre botnet concorrenti chiudendo diverse porte comunemente prese di mira. Il Dark Mirai rimarrà quindi inattivo, in attesa di comandi dal suo server Command-and-Control (C&C).