Dic 19, 2023 Attacchi, Minacce, News, RSS

I ricercatori di Kaspersky hanno individuato una nuova piattaforma chiamata “NKAbuse” che sfrutta il protocollo NKN per compromettere i dispositivi desktop Linux e i device IoT e creare una botnet.

NKN, acronimo di “New Kind of Network”, è un protocollo di rete peer-to-peer pensato per la tecnologia blockchain e fondato sulla decentralizzazione e sulla privacy. Oggi la rete NKN conta più di 60.000 nodi in tutto il mondo e offre diversi algoritmi di routing per ottimizzare la trasmissione di dati.

Non è la prima volta che i cybercriminali sfruttano questo protocollo per creare reti di bot e collegarsi al server C2 di controllo, ma NKAbuse è una nuova piattaforma che installa malware sui dispositivi delle vittime e sfrutta i cron job per sopravvivere al riavvio della macchina e sferrare attacchi DDoS tramite la rete di bot.

Il malware è in grado di creare un nuovo account sul dispositivo e aggiungere un nuovo multiclient che gli consente di inviare e ricevere dati da diversi clienti contemporaneamente, aumentando l’affidabilità delle comunicazioni col server dell’attaccante.

Le capacità della piattaforma vanno ben oltre gli attacchi DDoS: NKAbuse possiede anche numerose feature per diventare una backdoor o un trojan ad accesso remoto. Gran parte dei messaggi scambiati col server C2 analizzati dai ricercatori sono comandi usati per ottenere persistenza e raccogliere informazioni come l’indirizzo IP del dispositivo, la memoria a disposizione e alcune configurazioni.

La piattaforma è anche in grado di eseguire screenshot e inviarli al bot master, creare file o cancellarli e ottenere la lista di file in uno specifico percorso e dei processi in esecuzione.

“L’uso della tecnologia blockchain assicura sia l’affidabilità che l’anonimato, e ciò indica il potenziale della botnet di espandersi costantemente nel corso del tempo, apparentemente senza un controller centrale identificabile” spiegano i ricercatori; inoltre, il malware non è in grado di auto-propagarsi, e ciò significa che il vettore iniziale di infezione è una vulnerabilità conosciuta dei dispositivi.

 Al momento non si conosce l’identità degli attaccanti dietro la campagna. Le vittime dell’attacco si trovano in Colombia, Messico e Vietnam.

• blockchain, Kaspersky, NKAbuse, NKN, protocollo di rete, vulnerabilità