I Labs Nozomi Networks hanno identificato una nuova variante della botnet BotenaGo che mira ai dispositivi DVR delle telecamere di sicurezza Lilin. E a seguito del nome che gli sviluppatori hanno usato nel codice sorgente – /root/lillin.go – i ricercatori di sicurezza hanno deciso di chiamare l’esemplare “Lillin scanner” .
BotenaGo è un malware relativamente nuovo scritto in “Go”, il linguaggio di programmazione open source di Google. Si tratta di uno dei codici malevoli più furtivi, in grado di rimanere in esecuzione nei sistemi esposti senza essere rilevato dagli antivirus.
Secondo gli AT&T Alien Labs il malware BotenaGo è stato distribuito con oltre 30 funzioni di exploit, mettendo milioni di dispositivi IoT a rischio di potenziali attacchi informatici.
Il codice sorgente della botnet (Figura 1) risulta disponibile pubblicamente da circa sei mesi dopo essere stato trapelato nell’ottobre 2021, il che avrebbe portato alla creazione di nuove varianti basate sul codice originale.
La caratteristica più notevole di questa variante di BotenaGo (Lillin) è che al momento della stesura di questo articolo presenta ancora un tasso di rilevazione quasi nullo sulla piattaforma di scansione VirusTotal.
Caratteristica imputabile al fatto che “i suoi autori hanno rimosso quasi tutti gli oltre 30 exploit presenti nel codice sorgente originale di BotenaGo e hanno riutilizzato alcune parti per sfruttare una vulnerabilità diversa vecchia di due anni”.
Sempre secondo i ricercatori, “l’assenza di qualsiasi protezione [da parte del malware] indica che non sta effettivamente cercando di proteggersi da prodotti di sicurezza e reverse engineer. Rafforza [solo] la teoria secondo cui questo eseguibile potrebbe essere inteso principalmente per essere utilizzato dagli attaccanti in modalità manuale”.
Ciò dimostra che oltre a lavorare su progetti completamente nuovi, gli aggressori riutilizzano comunemente anche il codice già disponibile per creare nuovo malware. Monitorare l’evoluzione di questi progetti aiuta a creare rilevamenti più robusti e generici che rimangono proattivi per un tempo più lungo, fornendo così migliori protezioni contro le moderne minacce informatiche.
Per prevenire un’infezione da qualsiasi malware botnet occorre: prestare sempre la massima attenzione ai download sospetti; evitare di lasciare esposti su internet dispositivi senza una adeguata protezione; aggiornare sempre software e patch di sicurezza.
