Malware de Windows y Linux enlazado a herramienta DDoS china. El malware estaba relacionado con unos hackers chinos que ofrecían servicios DDoS. Malwares parecidos orientados tanto a ordenadores con Linux como a Windows estaban enlazados a un kit de herramientas para realizar ataques DDoS, que luego era vendido por hackers chinos a través de la web ddos.tf, según afirma el informe de los chicos de Malware Must Die! El malware, cuyo nombre en código era Linux/DDOSTF (o Linux/MrBlack) atacaba principalmente a ordenadores con Linux que ejecutaban servidores Elasticsearch, pero también atacaba e infectaba sistemas Windows, particularmente los más antiguos, con Windows XP, y servidores con Windows 2003. Los informes de los chicos de Malware Must Die! Informan de que las infecciones a los ordenadores Windows ocurrían a través de una Shell PHP-MySQ que se aprovechaba de un error en la arquitectura del WMI (Windows Management Instrumentation), lo que les permitía infiltrarse en los sistemas, instalar el programa malicioso y ejecutarlo, ganando así los privilegios de administrador en el ordenador infectado. La versión de Windows de este malware se conoce como el troyano Mr Black.

MalwareLos investigadores sobre seguridad también afirman que la variante de Linux de este malware, distribuida como un ejecutable malicioso ELF, tiene muchísimo parecido con otro malware más antiguo, llamado JrLinux, por lo que posiblemente sean de la misma familia. Adicionalmente, parte del código podría haber sido robado de otro famoso malware de Linux, Linux/BillGates.

Ambos malwares estaban enlazados con el servicio ddos.tf

Analizando los datos de telemetría de los PCs infectados, los investigadores afirman que estos malwares son sólo una parte de una botnet más amplia, que se utiliza principalmente para realizar ataques DDoS. Usando las pistas que han ido dejando los autores del malware en el código fuente, los investigadores han conseguido llegar desde los PCs infectados hasta el servicio ddos.tf. Esta página web ofrece el “Wrath DDoS Cluster” (o Curse DDoS CLuster, según como se traduzca) a cambio de dinero. La página web china lo anuncia como una herramienta de pen-testing, pero en realidad no es más que un panel de control para ataques DDoS. Investigando más a fondo el código fuente de Linux/DDOSTF, los investigadores de Malware Must Die! Han conseguido enlazar varias características del malware con las opciones y botones del panel de control de ataques DDoS de la página web.

“Este panel de control está cargado, no sólo con malware, sino también con armas webshell y herramientas de hacking. El malware ELF y Windows que han usado nos dirige hasta ellos,” concluyen los investigadores. “¿Estos atacantes están infectando y realizando ataques DDoS? ¿O se trata quizá de alguno de sus compradores? Todavía no lo sabemos.”