Kaiten, un malware controlado mediante IRC que suele utilizarse para llevar a cabo ataques de denegación de servicio distribuidos (DDoS), ha vuelto con una configuración más fuerte. Sus principales objetivos son routers y dispositivos de Internet de las Cosas (IoT).

Investigadores de ESET identificaron tres versiones más complejas del malware que llamaron Linux/Remaiten. La característica principal del malware es un mecanismo de propagación mejorada.

"Investigadores de ESET monitorean activamente programas maliciosos dirigidos a sistemas embebidos, tales como routers, puertas de enlace (gateways) y puntos de acceso inalámbricos", explicó la compañía en un análisis. "Descubrimos un bot que combina las capacidades de Tsunami (también conocido como Kaiten) y Gafgyt. También proporciona algunas mejoras, así como un par de nuevas características. Llamamos a esta nueva amenaza Linux/Remaiten. Hasta ahora, hemos visto tres versiones que se identifican como las versiones 2.0, 2.1 y 2.2. Con base en los artefactos encontrados en el código, los autores llaman a este nuevo malware KTN-Remastered o KTN-RM".

Basado principalmente en la exploración de telnet que realiza Linux/Gafgyt, las nuevas versiones mejoran el mecanismo de propagación a través del transporte de binarios ejecutables de tipo downloader para plataformas integradas, tales como routers y otros dispositivos conectados.

Cuando recibe instrucciones para realizar la exploración de telnet, el malware intenta conectarse a direcciones IP públicas aleatorias. Si la conexión se realiza correctamente, se tratará de adivinar las credenciales de inicio de sesión. En caso de lograr un inicio de sesión exitoso, emitirá un comando de shell para descargar archivos ejecutables de bots para múltiples arquitecturas de sistemas y tratará de ejecutarlas.

"Esta es una manera simple pero escandalosa de garantizar que la nueva víctima se infecte, pues es probable que uno de los binarios sea para la plataforma actual", dijo Michal Malík, investigador de malware de ESET. "Se dirige principalmente a aquellos con credenciales de acceso débiles."

Como se ve en Linux/Moose, cuando se ejecuta el malware, crea otro bot para los operadores maliciosos que lo utilizan. Esta cepa de malware también tiene un mensaje para quienes podrían tratar de neutralizar su amenaza.

"Dentro del mensaje de bienvenida de la versión 2.0 pareciera señalar a malwaremustdie.org que ha publicado amplios detalles sobre Gafgyt, Tsunami y otros miembros de esta familia de malware", dijo Malik.