Cyberthreat.id- Peneliti keamanan SecNiche Security Labs menemukan varian baru malware yang mengincar perangkat Internet of Things (IoT) di Eropa. Varian ini menjadi botnet yang dapat dilewati dengan penolakan layanan (Distributed-Denial-of-Service/ DDoS)

Varian malware ini disebut Gucci, sama dengan merek barang mode dan kulit mewah asal Italia.  Botnet ini tampaknya baru dan sebelumnya tidak pernah didokumentasikan.

Dikutip dari SecurityWeek, Senin, (30 September 2019), Peneliti keamanan Aditya K Sood dan Rohit Bansal mengatakan, malware ini menargetkan beberapa arsitektur, termasuk ARM, x86, MIPS, PPC, M68K dan lainnya. Biner yang ditemukan di server penyerang menunjukkan bahwa, malware ini disebarluaskan dari server yang berlokasi di Belanda.

“Saat menyelidiki malware, para peneliti menemukan bahwa setiap bot terhubung ke alamat IP jarak jauh pada port TCP 5555, dan juga mengidentifikasi host jarak jauh yang menjalankan layanan telnet khusus pada port TCP 5555,” tulis SecurityWeek.

Sood dan Bansal menjelaskan dalam laporan yang dibagikan dengan SecurityWeek, bahwa, mereka telah bertukar perintah dengan Gucci bot secara teratur.

Ketika mencoba membuat koneksi TCP ke host, para peneliti diminta untuk memberikan nama pengguna dan kata sandi untuk otentikasi.

Ketika menggunakan otomatisasi, para peneliti dapat memecahkan kredensial yang diperlukan dan mengakses panel perintah dan kontrol (C&C).

Panel juga menunjukkan bahwa botnet Gucci dirancang dengan dukungan untuk berbagai jenis serangan DDoS, termasuk pemindaian HTTP null, membanjiri UDP, banjir SYN, membanjiri ACK, membanjiri UDP dengan opsi protokol yang lebih sedikit, membanjiri IP GRE, dan membanjiri spesifik Value Source Engine.

“Operator botnet tampaknya mengawasi semua koneksi yang dibuat ke server C&C,” tulis SecurityWeek.

Bahkan,  setelah mereka menyadari bahwa C&C telah dikompromikan, para operator menghapus layanan TCP yang disebutkan di atas dari host dan juga berusaha menyembunyikan indikator dan artefak dengan membersihkan direktori dan melakukan operasi lainnya.

“Operator botnet ternyata sangat proaktif. Seluruh analisis dan mendapatkan akses C&C seperti perlombaan senjata, ”catat para peneliti keamanan.

Saat ini, botnet tampaknya sedang dalam tahap awal pengembangan dan tampaknya menargetkan benua Eropa. Botnet, kata peneliti, mampu meluncurkan serangan yang ditargetkan secara luas.