Demonbot

Demonbot è il nome di una botnet e di un malware utilizzato per infettare i dispositivi Internet of Things (IoT). Il codice sottostante della minaccia si basa sulla Botnet Mirai , un Trojan che infetta i dispositivi IoT il cui codice sorgente è stato divulgato online nel 2016.

Demonbot setaccia il Web alla ricerca di dispositivi dispositivi adatti e sfrutta la vulnerabilità di Hadoop per comprometterli. In pratica, il malware sfrutta una vulnerabilità legata all'esecuzione di codice remoto non autenticato nel modulo YARN (Yet Another Resource Negotiator). Questo particolare modulo è stato utilizzato dalle organizzazioni principalmente per la pianificazione dei lavori e la gestione delle risorse del cluster.

Sebbene Demonbot sia noto pubblicamente da un po 'di tempo, sembra che alcuni cybercriminali si stiano ancora rivolgendo ad esso per le loro attività minacciose. In effetti, un recente attacco contro dispositivi IoT è stato visto portare una variante di Demonbot insieme a un'altra variante di Mirai Botnet che è stata sviluppata da Scarface. La campagna si rivolge a un unico porto - 60001, mentre diversi altri porti sembrano essere usati come diversivo o esca. Secondo i ricercatori, 60001 è una porta ampiamente utilizzata tra i dispositivi IoT, con la maggior parte delle telecamere Defeway, che occupano oltre il 90% di tutte le telecamere su questa porta.