Sicherheitsforscher haben eine neue Variante der BotenaGo-Malware entdeckt, die ausschließlich auf DVR für Sicherheitskamerasysteme abzielt.
Für diejenigen, die sich nicht auskennen: BotenaGo ist eine relativ neue Malware, die in der Open-Source-Programmiersprache Golang von Google geschrieben wurde. Ursprünglich verwendet, um IoT-Geräte zum Erstellen von Botnets anzugreifen, wurde der Quellcode für BotenaGo im Oktober letzten Jahres online geleakt.
Seitdem haben Cyberkriminelle mehrere neue Varianten der Malware entwickelt und gleichzeitig das Original verbessert, indem sie neue Exploits hinzugefügt haben, um Millionen von verbundenen Geräten anzugreifen.
Nozomi Networks Labs hat jedoch eine neue Variante entdeckt, die anscheinend aus dem geleakten Quellcode stammt. Die von den Sicherheitsforschern des Unternehmens analysierte Probe zielt jedoch ausschließlich auf Lilins Überwachungskamera-DVR-Geräte ab, daher wurde sie als „Lillin-Scanner“ bezeichnet.
Lillin BotenaGo-Variante
Eine andere Sache, die den Lillin-Scanner von der ursprünglichen BotenaGo-Malware unterscheidet, ist, dass die Variante derzeit von keiner der Antiviren-Engines von VirusTotal erkannt wird.
Laut einem Bericht von BleepingComputer könnte dies daran liegen, dass die Autoren der Malware-Variante alle im ursprünglichen BotenaGo gefundenen Exploits entfernt haben. Stattdessen schrieben sie die Malware so, dass sie nur auf Lilin-DVRs abzielt, indem sie eine zwei Jahre alte kritische Schwachstelle zur Remote-Code-Ausführung ausnutzen. In diesem Fall ist es sinnvoll, ein kleineres Netzwerk nach potenziellen Zielen zu durchsuchen, da es immer noch eine beträchtliche Anzahl ungepatchter Lilin-DVR-Geräte in freier Wildbahn gibt.
Ein weiterer wichtiger Unterschied zwischen BotenaGo und dem Lillin-Scanner besteht darin, dass die neue Malware-Variante ein externes Massenscan-Tool nutzt, um Listen mit IP-Adressen anfälliger Geräte zu erstellen. Nozomi-Forscher weisen in ihrem Blogbeitrag auch darauf hin, dass die Cyberkriminellen hinter dem Lillin-Scanner ihn speziell programmiert haben, um eine Infektion von IP-Adressen des US-Verteidigungsministeriums (DOD), des US-amerikanischen Postdienstes (USPS) und General zu vermeiden Elektrisch. , Hewlett Packard und andere Unternehmen.
Sobald ein anfälliges Gerät mit dem Lillin-Scanner infiziert ist, werden Mirai-Payloads heruntergeladen und darauf ausgeführt. Diese neue Variante von BotenaGo ist jedoch keine so große Bedrohung, da sie nur auf Geräte eines bestimmten Herstellers abzielt.
Über BleepingComputer
