Botnet Torii: no es otra variante de Mirai

El 2018 ha sido el año en que las variantes de Mirai y QBot no dejaron de aparecer. Ahora, cualquiera puede usar el código fuente de Mirai, hacer un par de cambios, darle otro nombre que suene japonés y luego publicarlo como una botnet nueva*.

Durante la semana pasada, observamos una cepa distinta de malware, que denominamos Torii, y que difiere de Mirai y otras botnets conocidas, particularmente por las técnicas avanzadas que utiliza.

A diferencia de las botnets de la IoT mencionadas, esta trata de ser más sigilosa y persistente, y no hace (por ahora) lo habitual de estas redes, como la denegación de servicio distribuido, ataques a todos los dispositivos conectados a internet o, por supuesto, la minería de criptomonedas.

En vez de ello, trae una gran variedad de funciones para exfiltración de información (confidencial), arquitectura modular capaz de buscar y ejecutar comandos y otros ejecutables, todo a través de múltiples niveles de comunicación cifrada.

Más aún, Torii puede infectar una gran variedad de dispositivos y proporcionar soporte para una amplia gama de arquitecturas de destino, entre ellas, MIPS, ARM, x86, x64, PowerPC, SuperH y otras. Es, definitivamente, uno de los conjuntos más grandes vistos hasta ahora.

A medida que aprendemos más de esta cepa, encontramos indicaciones de que esta operación se encuentra en marcha desde diciembre de 2017 o, posiblemente, desde antes.

Este artículo fue desarrollado por Por Jakub Kroustek, Vladislav Iliushin, Anna Shirokova, Jan Neduchal y Martin Hron. Si deseas leer todo el estudio ingresa a este link.