Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/06/2018
Operación Prowli
Los investigadores de GuardiCore han descubierto una nueva Botnet
Más de 40.000 activos entre servidores, módems y dispositivos IoT han sido infectados por el malware Prowli alrededor del mundo en distintas organizaciones, incluyendo los sectores de finanzas, educación y gobiernos.
El principal objetivo de la operación es la inyección de mineros de criptomonedas, principalmente Monero (XMR), y la infección del equipo con el gusano "r2r2", escrito en Golang y con capacidad de realizar ataques de fuerza bruta mediante diccionarios al protocolo SSH. De esta manera, cada dispositivo infectado realiza ataques a direcciones IP generadas aleatoriamente para propagar el malware y extender la Botnet.
Asimismo, hace uso de la webshell de código abierto "WSO Web Shell" para modificar los servidores comprometidos, lo que permite a los atacantes redirigir a los usuarios que visitan las páginas web infectadas hacia sitios falsos que distribuyen extensiones de navegadores maliciosas.