Descubren Masjesu, una botnet que ofrece ataques DDoS a la carta contra dispositivos IoT

Investigadores de seguridad informática han destapado una nueva botnet llamada Masjesu, que se ofrece como un servicio de alquiler para realizar ataques de denegación de servicio distribuido (DDoS). Un ataque DDoS busca sobrecargar un servidor o red con tráfico malicioso para que deje de funcionar correctamente, impidiendo que los usuarios legítimos accedan al servicio.

Qué es Masjesu y cómo opera

Masjesu, también conocida como XorBot, se anuncia a través de Telegram desde 2023. Esta botnet se enfoca en dispositivos del Internet de las Cosas (IoT), como routers y gateways, que utilizan diferentes arquitecturas. Su nombre alternativo, XorBot, proviene del uso de cifrado XOR, una técnica para ocultar información sensible como cadenas de texto y configuraciones dentro del malware.

• Infección silenciosa: Masjesu está diseñada para pasar desapercibida, infectando dispositivos de manera discreta en lugar de propagarse masivamente.
• Evita objetivos conflictivos: La botnet evita rangos de direcciones IP bloqueadas, como las del Departamento de Defensa de EE.UU., para asegurar su supervivencia a largo plazo.
• Explotación de vulnerabilidades: Una versión posterior de Masjesu incorporó 12 exploits (aprovechamientos de fallos de seguridad) para atacar routers, cámaras, DVRs y NVRs de marcas como D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link y Vacron.
• Ataques volumétricos DDoS: Masjesu ofrece la capacidad de lanzar ataques DDoS de gran volumen, dirigidos a redes de distribución de contenido (CDNs), servidores de juegos y empresas.

De dónde provienen los ataques

Según Trellix, los ataques originados por Masjesu provienen principalmente de Vietnam, que representa casi el 50% del tráfico observado, seguido de Ucrania, Irán, Brasil, Kenia e India.

Una vez que infecta un dispositivo, el malware crea una conexión (socket) utilizando el puerto TCP 55988 para permitir que el atacante se conecte directamente. Si esto falla, el ataque se detiene. Si tiene éxito, el malware se asegura de persistir en el sistema, ignora las señales de terminación, detiene procesos comunes como wget y curl (posiblemente para eliminar botnets competidoras) y se conecta a un servidor externo para recibir comandos de ataque DDoS.

Propagación y nuevos objetivos

Masjesu también tiene la capacidad de propagarse por sí sola, buscando direcciones IP aleatorias para encontrar puertos abiertos e infectar nuevos dispositivos. Un nuevo objetivo son los routers Realtek, a los que ataca escaneando el puerto 52869, asociado con el demonio miniigd del SDK de Realtek.

Qué significa esto para ti

La aparición de Masjesu subraya la importancia de mantener los dispositivos IoT actualizados con los últimos parches de seguridad. Los routers, cámaras y otros dispositivos conectados a internet son objetivos atractivos para los ciberdelincuentes, ya que a menudo tienen contraseñas débiles o vulnerabilidades conocidas. Cambiar las contraseñas predeterminadas, actualizar el firmware y deshabilitar funciones innecesarias puede reducir significativamente el riesgo de que tus dispositivos sean reclutados en una botnet como Masjesu.