I Labs Nozomi Networks hanno scoperto una nuova variante del malware BotenaGo in grado di lanciare attacchi informatici contro milioni di dispositivi IoT. BotenaGo è scritto in “Go”, un linguaggio di programmazione open source di Google. L’uso di linguaggi di programmazione open source ha i suoi vantaggi. Perciò gli aggressori ne hanno approfittato, utilizzando Go per codificare malware pericolosi. La nuova variante mira specificamente ai dispositivi DVR delle telecamere di sicurezza Lilin. Abbiamo chiamato questo esemplare “Lillin scanner” a seguito del nome che gli sviluppatori hanno usato nel codice sorgente: /root/lillin.go.
Malware BotenaGo
Analizziamo la funzionalità di questo esemplare per mostrare passo dopo passo come operano questi tipi di scanner. Il codice sorgente del malware BotenaGo è trapelato nell’ottobre 2021, e ha portato alla creazione di nuove varianti basate sull’originale. Abbiamo deciso di monitorare i campioni che potrebbero essere generati utilizzando parti del codice sorgente di BotenaGo,scoprendo un esemplare che assomigliava a BotenaGo.
La ricerca che ha condotto alla scoperta
Al momento di questa ricerca, il campione non era stato individuato da nessun motore di rilevamento di malware in VirusTotal. Nonostante sia abbastanza grande (2,8 MB), essendo scritto in Go, la porzione di codice pericoloso effettivo è abbastanza piccola e si concentra su un singolo compito. I suoi autori hanno rimosso quasi tutti gli oltre 30 exploit presenti nel codice sorgente originale di BotenaGo. E ne hanno riutilizzato alcune parti per sfruttare una vulnerabilità diversa che ha più di due anni. Questo potrebbe essere il motivo per cui il campione non è stato rilevato fino ad ora.
