Satori es una familia de software malicioso cuyos representantes infectan enrutadores, cámaras de vigilancia y otros dispositivos IoT. El objetivo es la formación de botnets, lo que le permite realizar diversas tareas, desde DDoS hasta otras más complejas, como la minería. Pero ahora ha aparecido un nuevo representante de esta familia, que no extrae nada, sino que simplemente roba las monedas extraídas.
El 8 de enero, representantes de la compañía de seguridad de información Netlab 360 de China publicaron un informe que informa sobre la detección de malware que estropea los sistemas de minería. La nueva versión de Satori explota vulnerabilidades en
Claymore Miner , reemplazando la dirección de carteras de propietarios de equipos de minería por carteras de intrusos.
Como el equipo continúa funcionando normalmente, es posible que el minero no detecte el problema de inmediato. Por supuesto, después de que las monedas extraídas dejen de llegar a la billetera, esto llama la atención. Pero en algunos casos, pueden pasar días hasta que se note este problema. Este malware no se puede llamar masivo todavía.
La billetera es conocida , y también
se sabe cuánto dinero hay. Durante todo el tiempo, solo se extrajeron dos monedas Ethereum, por lo que los desarrolladores de gusanos (hasta ahora) no recibieron grandes ingresos. Pero si el virus resulta ser infeccioso, los flujos financieros pueden aumentar muchas veces. Actualmente, el rendimiento del equipo capturado por el malware es de aproximadamente 2,1 millones de hashes por segundo. Esa potencia puede ser desarrollada por 85 PC con una tarjeta Radeon Rx 480 o 1135 computadoras con tarjetas GeForce GTX 560M.
Hasta donde se puede juzgar, el rendimiento del equipo no crece mucho, probablemente el virus no infecta nuevos dispositivos o los propietarios del sistema encuentran problemas rápidamente y el virus no puede formar una red significativa.
Vale la pena señalar que la familia Satori es una versión modificada de la botnet
Mirai , cuyo código fuente se ha compartido recientemente. Mirai toma el control de los dispositivos IoT, y en 2016 esta botnet comenzó a desarrollarse a un ritmo muy rápido, lo que causó problemas bastante importantes.
En cuanto a Satori, el código de este software se modifica significativamente. El gusano en sí no infecta los gadgets con contraseñas predeterminadas. En cambio, el malware analiza el software del dispositivo en busca de vulnerabilidades. Si se encuentra alguno, los dispositivos se infectan. A principios de diciembre, Satori infectó más de 100 mil dispositivos, y en un futuro cercano la escala de esta botnet puede crecer muchas veces.
Los investigadores de Netlab 360 afirman que la nueva versión de Satori, mejorada para las criptomonedas, apareció el 8 de enero. Analiza los dispositivos en busca de dos vulnerabilidades de IoT diferentes, además de que utiliza un agujero en el software Claymore Mining, como se mencionó anteriormente.
Todavía no está claro exactamente cómo el nuevo virus infecta a las computadoras que extraen criptomonedas. Se conoce al menos una vulnerabilidad en
Claymore Mining . Por lo que puedes entender, el gusano funciona con un puerto 3333 con configuración predeterminada (sin autenticación).
Netlab 360 no proporcionó una gran cantidad de datos para evitar que intrusos malintencionados obtuvieran información útil. Los desarrolladores de Claymore Mining aún no han respondido a las reclamaciones de seguridad cibernética.
Pero uno de los desarrolladores de Satori agregó un mensaje con el siguiente contenido: “No se preocupe por este bot, no realiza ninguna acción dañina. Puedes contactarme en curtain@riseup.net ". Una declaración bastante extraña, ya que el hecho de que el malware reemplace las billeteras de los mineros con las billeteras de sus propios desarrolladores claramente no es una acción inofensiva.
En cuanto a Satori, esto está lejos de ser el único "heredero" de Mirai. En octubre del año pasado, los investigadores
anunciaron que había surgido un
nuevo problema en la Web: otro poderoso malware que se conoció como Reaper e IoTroop. También encuentra vulnerabilidades en el software y el hardware de los dispositivos "en la nube", y los infecta, convirtiéndolos en zombis.