El investigador de
seguridad @VessOnSecurity ha detectado a través de uno de sus honeypots un
ataque via Telnet que tiene como objetivo dispositivos IoT.
Al igual que Mirai,
Torii utiliza fuerza bruta de contraseñas conocidas para llevar a cabo la
infección y una vez dentro del dispositivo es donde encontramos la diferencia
entre ambas familias. Torii tiene un arsenal de características que van más
allá de la realización de ataques DDoS o minar criptomonedas, como la capacidad
de enviar información, la ejecución de comandos y ejecutables, y una
comunicación cifrada, sin duda un malware en IoT más evolucionado que su
predecesor Mirai.
Dentro de la
sofisticación que mencionábamos se encuentra que es multiplataforma, las
arquitecturas disponibles por el momento son: MIPS, ARM, x86, x64, PowerPC,
Motorola 68k y SuperH.
Debido a esta
característica multiplataforma, Torii amenaza a una cantidad de dispositivos
más amplia que Mirai, y si bien es cierto que el vector de infección es
bastante precoz, a día de hoy parece ser más que suficiente para los atacantes
que están encontrando en los dispositivos IoT conectados una vía rápida de
generación de botnets.
Avast ha llevado a
cabo un completo análisis de la muestra que pueden consultar en su blog https://blog.avast.com/new-torii-botnet-threat-research
IOCs:
Dominios:
cloud.tillywirtz.com
editor.akotae.com
press.eonhep.com
web.reeglais.com
top.haletteompson.com
trade.andrewabendroth.com
Dominios potenciales:
dushe.cc
psoriasiafreelife.win
q3x1u.psoriasiafreelife.win
server.blurayburnersoftware.com
www.bubo.cc
www.dushe.cc
Ips:
184.95.48.12
104.237.218.82
104.237.218.85
66.85.157.90
Hashes:
Más información:
Twitter Vess: https://twitter.com/VessOnSecurity
Fuente: Hispasec