Los expertos en seguridad cibernética han descubierto una nueva botnet, que en lugar de realizar actividad maliciosa se dedica a la búsqueda y destrucción de software malicioso para extraer la moneda criptográfica .
Botnet Fbot es una variación de la botnet Satori, que a su vez se basa en el programa Mirai, comúnmente utilizado para implementar ataques DDoS. Sin embargo, en este caso, el elemento para implementar ataques DDoS se ha desactivado y se ha reemplazado con la función de buscar dispositivos infectados con un determinado minero criptográfico u oculto.
Botnet fue descubierto por el equipo de Qihoo 360Netlab. Según su información, Fbot está buscando com.ufo.miner, una variación de Monero-miner para dispositivos Android llamada ADB.Miner.
Botnet busca dispositivos infectados a través de puertos abiertos y usa la secuencia de comandos para eliminar com.ufo.miner si lo encuentra. Fbot está programado para escanear la red y diseminarla, instalarse encima del malware y luego autodestruirse, dicen los investigadores.
Otra característica inusual de Fbot es el hecho de que utiliza un sistema de nombres de dominio (DNS) no estándar y una alternativa descentralizada en la superproducción denominada EmerDNS, lo que hace que sus direcciones sean más difíciles de rastrear y cerrar.
"Elegir Fbot a favor de EmerDNS sobre DNS tradicional es bastante curioso. Debido a esto, fue más difícil para los expertos encontrarlo y rastrearlo (los sistemas de seguridad no encuentran nada si solo buscan nombres DNS tradicionales) " , escriben.
No se sabe si Fbot participa en esta actividad por buenas razones o simplemente elimina competidores.
La creciente popularidad de los mineros ocultos comenzó el año pasado, de acuerdo con informes de varias compañías en el campo de seguridad cibernética. Las víctimas se convierten en usuarios comunes y en empresas e incluso en estructuras estatales. Recientemente se supo que mineros ocultos fueron encontrados en varios sitios web gubernamentales en India.
