Masjesu Botnet

Entro Mezo nel Botnet

Traduci in:

Gli analisti di sicurezza informatica hanno scoperto una botnet altamente occulta progettata specificamente per attacchi DDoS (Distributed Denial of Service). Nota come Masjesu, questa operazione circola dal 2023 come servizio di attacchi DDoS a pagamento, promosso principalmente tramite canali Telegram.

Anziché puntare a infezioni di massa, la botnet adotta un approccio misurato e calcolato. La sua progettazione privilegia la persistenza e la furtività, evitando deliberatamente obiettivi di alto profilo come le reti associate al Dipartimento della Difesa. Questa strategia riduce significativamente la probabilità di rilevamento e smantellamento, consentendo all'operazione di protrarsi nel tempo.

Sommario

Doppia identità e operazioni crittografate

Masjesu è anche noto come XorBot, un nome derivato dall'utilizzo di tecniche di crittografia basate sull'operazione XOR. Questi metodi vengono applicati a stringhe, dati di configurazione e payload poco chiari, complicando le attività di analisi e rilevamento.

La botnet è stata documentata per la prima volta nel dicembre 2023 ed è stata collegata a un operatore noto come "synmaestro". Fin dalla sua prima apparizione, ha dimostrato un chiaro obiettivo: mantenere una bassa visibilità, consentendo al contempo un efficiente controllo remoto dei sistemi compromessi.

Ampliamento dell’arsenale e delle capacità di sfruttamento

Una versione più recente della botnet, osservata circa un anno dopo, ha introdotto miglioramenti significativi. Incorporava molteplici exploit di iniezione di comandi ed esecuzione di codice remoto, mirati a una vasta gamma di dispositivi Internet of Things, tra cui router, telecamere, DVR e NVR di diversi importanti produttori.

Questi aggiornamenti includevano anche moduli dedicati per l'esecuzione di attacchi DDoS ad alto volume, rafforzando il suo ruolo di servizio commerciale per gli attacchi.

Le principali funzionalità includono:

Sfruttamento delle vulnerabilità in diverse architetture hardware IoT
Integrazione di 12 vettori di attacco distinti per l'accesso iniziale
Implementazione di moduli specializzati per operazioni DDoS volumetriche

Meccanismi di flusso e di persistenza dell’infezione

Una volta compromesso un dispositivo, il malware avvia una catena di esecuzione strutturata progettata per mantenere il controllo e prevenire interferenze. Stabilisce un socket associato a una porta TCP predefinita (55988), consentendo la comunicazione diretta con l'attaccante. Se questo passaggio fallisce, il processo di infezione termina immediatamente.

In caso di successo, il malware procede con tecniche di persistenza, sopprimendo i segnali di terminazione e disabilitando utility comuni come wget e curl, probabilmente per eliminare i malware concorrenti. Successivamente, si connette a un server di comando e controllo esterno per ricevere istruzioni e lanciare attacchi contro i bersagli designati.

Autopropagazione e targeting strategico

Masjesu è dotato di funzionalità di auto-propagazione, che gli consentono di scansionare indirizzi IP casuali alla ricerca di sistemi vulnerabili. Una volta identificati, questi dispositivi vengono integrati nell'infrastruttura della botnet, espandendone la capacità operativa.

Una tattica degna di nota consiste nella scansione della porta 52869, associata al servizio miniigd dell'SDK di Realtek, un metodo precedentemente sfruttato da altre botnet come JenX e Satori.

La distribuzione geografica del traffico di attacco mostra una concentrazione in:

Vietnam (circa il 50% dell'attività osservata)
Ucraina, Iran, Brasile, Kenya e India

Nonostante la sua aggressiva espansione, la botnet evita di prendere di mira organizzazioni critiche o sensibili. Questa deliberata moderazione riduce l'esposizione legale e aumenta la sua sopravvivenza a lungo termine.

Strategia di commercializzazione e crescita

Masjesu continua a evolversi come servizio strutturato per la lotta alla criminalità informatica. I suoi operatori promuovono attivamente le proprie capacità tramite Telegram, presentandosi come una soluzione scalabile per colpire reti di distribuzione di contenuti, infrastrutture di gioco e sistemi aziendali.

Questa dipendenza dalle piattaforme dei social media per il reclutamento e la pubblicità si è dimostrata efficace, consentendo una crescita costante e attirando una base di clienti interessati a lanciare attacchi DDoS senza competenze tecniche.

Una minaccia informatica crescente e persistente

In quanto famiglia di botnet emergente, Masjesu dimostra una forte crescita sia in termini di sofisticazione tecnica che di espansione operativa. La sua combinazione di furtività, sfruttamento mirato e accessibilità commerciale la rende una minaccia significativa nel panorama attuale della sicurezza informatica.

Privilegiando la persistenza rispetto alla visibilità e sfruttando tecniche di attacco in continua evoluzione, la botnet continua a infiltrarsi e a controllare gli ambienti IoT in tutto il mondo, riducendo al minimo il rischio di interruzioni.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione

Masjesu Botnet

Doppia identità e operazioni crittografate

Ampliamento dell’arsenale e delle capacità di sfruttamento

Meccanismi di flusso e di persistenza dell’infezione

Autopropagazione e targeting strategico

Strategia di commercializzazione e crescita

Una minaccia informatica crescente e persistente

Invia commento

Tendenza

Forestrievic.com

Truffa del programma di distribuzione SatoshiVM

Blemandepia.com

I più visti

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...

Eporner.com