Se ha descubierto recientemente una red de bots de gran expansión llamada Cayosin, la cual combina características de diversas botnets cómo QBot y Mirai, el servicio es ofrecido a una amplia audiencia a un bajo precio a través de plataformas de redes sociales legítimas.
El registro cuenta con 55 direcciones IP y los bots generados superan los 1.100 a la fecha. Existen dos cuentas de instagram (@unholdable, @umperdumper) que ofrecen el producto de forma abierta a los interesados.
Cayosin reutiliza en gran medida los exploits utilizados por otras botnets, cómo las mencionadas anteriormente, aunque las inyecciones hacen referencia a un binario de segundo nivel, alojado en 185.244.25[.]241: Una dirección IP que no fue observada entre las 55 direcciones IP que se escanearon en el exploit de primer nivel, la cual corresponde a una VPS de Holanda, que descarga dos binarios maliciosos. Una vez que, la infección de segundo nivel se ejecuta en un host vulnerable, este se comunica con “hostnamepxssy[.]club”.
Los binarios detectados hacen uso de ingeniería inversa, el código base de Cayosin comparte, además, características con Torlus / Qbot / Lizkebab conocidos malwares que realizan ataques DDoS.
REFERENCIA
COMENTARIOS