Operación Prowli

08/06/2018
Botnet
Los investigadores de GuardiCore han descubierto una nueva Botnet

Más de 40.000 activos entre servidores, módems y dispositivos IoT han sido infectados por el malware Prowli alrededor del mundo en distintas organizaciones, incluyendo los sectores de finanzas, educación y gobiernos.

El principal objetivo de la operación es la inyección de mineros de criptomonedas, principalmente Monero (XMR), y la infección del equipo con el gusano "r2r2", escrito en Golang y con capacidad de realizar ataques de fuerza bruta mediante diccionarios al protocolo SSH. De esta manera, cada dispositivo infectado realiza ataques a direcciones IP generadas aleatoriamente para propagar el malware y extender la Botnet. 

Asimismo, hace uso de la webshell de código abierto "WSO Web Shell" para modificar los servidores comprometidos, lo que permite a los atacantes redirigir a los usuarios que visitan las páginas web infectadas hacia sitios falsos que distribuyen extensiones de navegadores maliciosas.

Más información

Añadir nuevo comentario