¿Tu servidor con Linux está sin actualizar? ¡Mas vale ponerse al día y evitar problemas! The Hacker News informa que una botnet reciente enfocada en Linux y denominada Enemybot ha ampliado sus capacidades para incluir vulnerabilidades de seguridad recientemente reveladas en su arsenal para apuntar a servidores web, dispositivos Android y sistemas de administración de contenido (CMS).

«El malware está adoptando rápidamente vulnerabilidades de un día como parte de sus capacidades de explotación», dijo personal de AT&T Alien Labs en un artículo técnico publicado la semana pasada. «Se están apuntando a servicios como VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase y más, así como a dispositivos IoT y Android».

Enemybot ―que es capaz de llevar a cabo ataques DDoS, tiene sus orígenes en otras redes de bots como Mirai, Qbot, Zbot, Gafgyt y LolFMe. Un análisis de la última variante revela que se compone de cuatro componentes diferentes:

• Un módulo de Python para descargar dependencias y compilar el malware para diferentes arquitecturas de sistemas operativos.
• La sección central de botnets.
• Un segmento de ofuscación diseñado para codificar y decodificar las cadenas del malware.
• Una funcionalidad de comando y control para recibir comandos de ataque y obtener cargas útiles adicionales.

También se incorpora una nueva función diseñada para buscar direcciones IP aleatorias en busca de posibles vulnerabilidades, al mismo tiempo que tiene en cuenta nuevos errores a los pocos días de su divulgación pública.

Además de las vulnerabilidades de Log4Shell que salieron a la luz en diciembre de 2021, está aprovechando fallas recientemente corregidas en los dispositivos Razer Sila, VMware Workspace ONE Access (CVE-2022-22954) y F5 BIG-IP (CVE-2022-1388) así como vulnerabilidades en complementos de WordPress como Video Synchro PDF.

Fuente: The Hacker News.