Aunque al escuchar hablar sobre amenazas de ciberseguridad lo primero que nos viene a la mente son actividades como ransomware y robo de información, aunque las botnets siguen siendo una amenaza real y altamente peligrosa.
Los especialistas en ciberseguridad de Cisco Talos revelaron el hallazgo de una compleja campaña maliciosa en la que los actores de amenazas usan una enorme botnet modular. Identificada como “Lemon Duck”, esta campaña maliciosa también implica el uso de una carga útil para el minado de la criptomoneda Monero.
Los hackers maliciosos emplean múltiples métodos para desplegar la infección, incluyendo exploits de email, WMI y SMB, explotando vulnerabilidades como EternalBlue y SMBGhost en dispositivos Windows 10. Los atacantes también podrían emplear herramientas como Mimikatz, que facilitan la operación de la botnet, aumentando su capacidad de ataque.
Expertos en ciberseguridad han reportado ataques prácticamente iguales desde finales de 2018, aunque durante los más recientes meses se ha detectado un incremento inusitado en estos reportes.
La cadena de infección comienza con un script de carga de PowerShell, copiado de otros sistemas infectados por diversos métodos. Los actores de amenazas también abusan de múltiples exploits y módulos de botnet que se descargan y controlan mediante un módulo principal que a su vez se encarga de la comunicación con el C&C.
Los mensajes de phishing empleados en esta campaña contienen líneas de asunto y cuerpo del mensaje relacionado con el coronavirus y la enfermedad COVID-19, además de un archivo malicioso adjunto.
Los usuarios deben estar atentos ante cualquier actividad maliciosa y monitorear el comportamiento de sus sistemas para prevenir los ataques de botnets, pues los ataques de las botnets podrían generar consecuencias desastrosas.