Se ha detectado una nueva amenaza multiplataforma denominada NKAbuse, que emplea el protocolo de conectividad de red punto a punto descentralizado conocido como NKN (abreviatura de New Kind of Network) como canal de comunicación.
Según un informe de la empresa rusa de ciberseguridad Kaspersky, "El malware utiliza la tecnología NKN para el intercambio de datos entre pares, funcionando como un potente implante y equipado con capacidades tanto de inundación como de puerta trasera."
Te podrá interesar leer: ¿Qué es Backdoor?: Protegiendo tu Sistema Digital
NKN, con más de 62,000 nodos, se describe como una "red superpuesta de software construida sobre la Internet actual que permite a los usuarios compartir ancho de banda no utilizado y ganar recompensas simbólicas". Además, incorpora una capa blockchain sobre la pila TCP/IP existente.
Es conocido que los actores de amenazas aprovechan los protocolos de comunicación emergentes para comandar y controlar (C2) y evitar la detección. En el caso de NKAbuse, utiliza la tecnología blockchain para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) y funcionar como un implante en sistemas comprometidos.
Específicamente, utiliza el protocolo para comunicarse con el bot maestro y recibir/enviar comandos. El malware está programado en el lenguaje Go y se utiliza principalmente para identificar sistemas Linux, incluyendo dispositivos IoT, en países como Colombia, México y Vietnam.
Aunque no se sabe con certeza la extensión de los ataques, un caso identificado por Kaspersky involucra la explotación de una vulnerabilidad crítica que lleva seis años sin parche en Apache Struts (CVE-2017-5638, CVSS: 10.0) para comprometer una empresa financiera anónima.
Una vez que se ha logrado la explotación con éxito, se entrega un script de shell inicial que descarga el implante desde un servidor remoto, previa verificación del sistema operativo del host de destino. El servidor que alberga el malware ofrece ocho versiones diferentes de NKAbuse para admitir diversas arquitecturas de CPU: i386, arm64, arm, amd64, mips, mipsel, mips64 y mips64el.
Un aspecto notable es la ausencia de un mecanismo de autopropagación, lo que significa que el malware debe ser entregado al objetivo a través de otra vía de acceso inicial, como la explotación de fallos de seguridad.
Kaspersky señala que "NKAbuse utiliza trabajos cron para sobrevivir a los reinicios. Para lograrlo, necesita privilegios de root. Verifica que el ID de usuario actual sea 0 y, si es así, procede a analizar el crontab actual, añadiéndose a sí mismo en cada reinicio."
Te podrá interesar: Ddostf: Una nueva botnet que utiliza MySQL para lanzar ataques DDoS
El malware NKAbuse también incorpora una serie de funciones de puerta trasera que le permiten enviar periódicamente un mensaje de latido al bot maestro, capturar capturas de pantalla de la pantalla actual, realizar operaciones de archivos y ejecutar comandos del sistema.
Kaspersky advierte que "este implante en particular parece haber sido meticulosamente diseñado para su integración en una botnet, pero puede adaptarse para funcionar como puerta trasera en un host específico. Además, su uso de la tecnología blockchain garantiza confiabilidad y anonimato, lo que indica el potencial de esta botnet para expandirse constantemente con el tiempo, aparentemente desprovista de un controlador central identificable."
Para protegerse del malware NkAbuse, se recomienda seguir las siguientes medidas de seguridad:
Podría interesarte: Análisis de Malware con Wazuh
El malware NkAbuse es una muestra de cómo los ciberdelincuentes pueden aprovechar las nuevas tecnologías para perpetrar sus ataques. Por ello, es importante estar al tanto de las últimas amenazas y adoptar las mejores prácticas de seguridad para protegerse de ellas.