Imagen de caricatura de una computadora de escritorio atacada por un virus.

Investigadores de Microsoft han descubierto una botnet híbrida Windows-Linux que utiliza una técnica de apagado altamente eficiente Minecraft Server y realiza ataques distribuidos de denegación de servicio en otras plataformas.

Apodado MCCrash, el botnet infecta máquinas y dispositivos Windows que ejecutan varias distribuciones de Linux para usarlos para ataques DDoS. Entre los comandos que acepta el software de botnet se encuentra uno llamado ATTACK_MCCRASH. Este comando completa el nombre de usuario en un Minecraft Página de inicio de sesión del servidor con ${env:random payload of specific size:-a}. La cadena agota los recursos del servidor y lo bloquea.

Una captura de paquetes que contiene la carga útil de TCP para el bloqueo <em>Minecraft</em>servidores.» src=»https://cdn.arstechnica.net/wp-content/uploads/2022/12/mccrash-tcp-payload-640×50.png» width=»640″ height=»50″ srcset= «https ://cdn.arstechnica.net/wp-content/uploads/2022/12/mccrash-tcp-payload.png 2x»/><figcaption class=
Agrandar / Una captura de paquetes que muestra la carga útil de TCP para el bloqueo Minecraft Servidor.

microsoft

«El uso de la env La variable desencadena el uso de la biblioteca Log4j 2, lo que resulta en un consumo anómalo de recursos del sistema (no relacionado con la vulnerabilidad Log4Shell), lo que demuestra un método DDoS específico y altamente eficiente”, escribieron los investigadores de Microsoft. «Una amplia gama de versiones de servidores de Minecraft puede verse afectada».

Actualmente, MCCrash está codificado para apuntar solo a la versión 1.12.2 de Minecraft software de servidor Sin embargo, la técnica de ataque paralizará los servidores que ejecutan las versiones 1.7.2 a 1.18.2, que ejecutan aproximadamente la mitad de los servidores del mundo. Minecraft Servidor. Si el malware se actualiza para apuntar a todas las versiones vulnerables, su alcance podría ser mucho más amplio. Una modificación en Minecraft La versión 1.19 del servidor evita que el ataque funcione.

distribution of minecraft servers

“El amplio espectro de personas en riesgo Minecraft El servidor destaca el impacto que podría haber tenido este malware si se hubiera codificado específicamente para afectar las versiones posteriores a la 1.12.2”, escribieron los investigadores de Microsoft. «La capacidad única de esta amenaza para usar dispositivos IoT, que a menudo no se monitorean como parte de la red de bots, aumenta en gran medida su efectividad y disminuye sus posibilidades de detección».

El punto inicial de infección de MCCrash son las computadoras con Windows que tienen instalado un software que pretende proporcionar licencias pirateadas para el sistema operativo de Microsoft. El código oculto en el software descargado infecta sigilosamente el dispositivo con malware que finalmente instala malicioso.py, un script de Python que proporciona la lógica principal para la botnet. Los dispositivos Windows infectados escanean Internet en busca de dispositivos Debian, Ubuntu, CentOS e IoT que acepten conexiones SSH.

Herramientas de craqueo de troyanos que instalan MCCrash.
Agrandar / Herramientas de craqueo de troyanos que instalan MCCrash.

microsoft

Si lo encuentra, MCCrash usa credenciales predeterminadas comunes para intentar ejecutar el mismo script malicioso.py en el dispositivo Linux. Tanto los dispositivos de Windows como los de Linux forman parte de una red de bots que utiliza el Minecraft Ataque y otras formas de DDoS. El siguiente gráfico muestra el flujo de ataque.

mccrash attack flow

microsoft

Un desglose de los dispositivos infectados con MCCrash muestra que la mayoría se encuentran en Rusia. Microsoft no ha dicho cuántos dispositivos están infectados. Los investigadores de la compañía dijeron que creen que los operadores de botnets lo están usando para vender servicios DDoS en foros sobre delitos.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí