HiddenWasp ejecuta un script inicial para implementar el malware. La secuencia de comandos oculta emplea un usuario llamado ‘sftp’ y limpia el sistema para eliminar versiones anteriores de malware en caso de que el dispositivo ya estuviera infectado.
Después, descarga un archivo de almacenamiento del servidor que contiene todos los componentes, incluidos el rootkit y el troyano. El script añade el troyano a /etc/rc.local para que funcione incluso después de que el usuario reinicie el sistema.
Una vez instalado, el atacante puede tomar el control remoto del terminal infectado y ejecutar código, subir archivos, descargar más scripts… Según sus análisis, los investigadores aseguran que este malware se propaga en sistemas previamente controlados por los hackers, por lo que se estaría utilizando como carga secundaria.
Los desarrolladores de HiddenWasp han aprovechado una gran cantidad de código de varios malware Open Source, como Mirai y el rootkit de Azazel. Se asemeja a diferentes familias de amenazas originarias de China, pero todavía no está clara ni su autoría ni su procedencia.
Encontrarás más información y un análisis técnico de este malware en el Blog de Intezer.
0 comentarios