Han surgido grandes cambios en la escena del malware Mirai de Internet de las cosas (IoT). Investigadores de seguridad han descubierto una versión de este malware que se puede ejecutar en un amplio rango de arquitecturas, e incluso en dispositivos Android.

Esta modificación del malware es llamada Sora, una variante que fue vista por primera vez a comienzos del año.

Las versiones iniciales no eran nada fuera de lo común, y el autor original de Sora pronto comenzó a desarrollar la versión Mirai Owari, poco después de la creación de Sora.

“Sora es por ahora un proyecto abandonado, continuaré trabajando en OWARI”, dijo el autor del malware Sora en una entrevista con NewSky Security.

Variantes de Mirai Sora están regresando

El código de Sora fue abandonado, pero no olvidado. Anikit Anubhav, un analista de malware de NewSky Security, le dijo a Bleeping Computer que el número de detecciones de Sora está incrementando continuamente desde junio.

Parece que otros autores de malware se encargaron de mejorar el código de SORA. Un reporte de Sysmantec publicó hoy detalles de una versión mejorada de Sora.

Nueva versión de Sora compilada con Aboriginal Linux

Lo que destaca de esta nueva versión de Sora es que el autor del malware lo compiló con Aboriginal Linux, una serie de herramientas que toman código origen y generan binarios para un considerable número de plataformas.

El autor detrás de esta nueva variante usó todos estos binarios en un proceso de infección, intentando difundir la variante de Sora en tantos dispositivos como pudiera.

Una vez que accede a un dispositivo adivinando su contraseña de SSH, la rutina de infección se descarga y ejecuta una lista de binarios de Sora, uno por uno, hasta que encuentra uno apropiado para la plataforma del dispositivo infectado.

Esta particular variante de Mirai Sora que usa Aboriginal Linux ha estado presente desde julio. Symantec dice que encontraron binarios que se ejecutaron exitosamente en sistemas operativos Android y Debian, plataformas que Mirai nunca logró infectar antes.

La actividad de Mirai está en aumento

Troy Mursch, un investigador de seguridad que reside en Estados Unidos que ejecutó un seguidor de Mirai, le dijo Bleeping Computer en una conversación privada que Sora no es el único que tiene un resurgimiento, y que el número de ataques por Mirai ha estado en constante aumento durante todo el año.

“Incluso si los dispositivos son reiniciados, se vuelven objetivos nuevamente, ya que la vulnerabilidad subyacente nunca se repara”, dijo Mursh, señalando que la culpa es de dispositivos obsoletos que no reciben actualizaciones de seguridad.

Hasta que esto cambie, Mirai continuará plagando el medio de IoT y todo Internet.

Articulos relacionados:

• BlackIoT pretende interrumpir redes eléctricas
• Ataque de hombre en disco afecta a millones de teléfonos Android