En noviembre de 2022 se detectó un nuevo malware basado en el lenguaje de programación Go, que se ofrece como parte de un esquema de malware de tipo servicio y fue denominado Zerobot, aunque también es llamado ZeroStresser por sus operadores.

Este mes, se encontró un dominio con enlaces a Zerobot entre varios dominios asociados con diversos DDoS de alquiler incautados por el FBI.
El software malicioso utiliza exploits para casi dos docenas de vulnerabilidades en aplicaciones web y elementos IoT (Internet of Things), tales como firewalls, routers y cámaras. Su principal propósito es agregar dispositivos comprometidos a una red de bots de denegación de servicio distribuida (DDos) para lanzar ataques con grandes capacidades contra objetivos específicos, y tiene la capacidad de escanear la red y autopropagarse a dispositivos adyacentes y de ejecutar comandos en Sistemas Operativos Windows o Linux.

Recientemente, investigadores de Microsoft Defender identificaron una nueva actualización de este malware. Ahora infecta a servidores Apache que se encuentren expuestos a Internet y no cuenten con parches de seguridad; incluso, agrega nuevos exploits al conjunto de herramientas del malware, los cuales le permiten apuntar a siete nuevos tipos de dispositivos y software como los servidores Apache y Apache Spark.
Asimismo, Zerobot se propaga a través de ataques de fuerza bruta contra dispositivos no seguros con credenciales predeterminadas o débiles y aprovecha sus vulnerabilidades.

Una vez que infecta un sistema, descarga un script llamado “zero” para una arquitectura de CPU específica que le permite autopropagarse a sistemas más susceptibles expuestos en línea. Finalmente, realiza un escaneo y compromete dispositivos que cuentan con vulnerabilidades conocidas que no estaban incluidas en el ejecutable del malware, lo que podría ampliar los alcances de este tipo de ataques.

Zerobot además agrega siete nuevos métodos de ataque de DDos, incluyendo el método de ataque TCP_XMAS.

Se recomienda implementar los parches de seguridad hacia los sistemas afectados que formen parte de su infraestructura a medida que estos se encuentren disponibles, además validar que la solución de antivirus o EDR utilizados, cuenten con protección para este malware.

Referencias:
https://thehackernews.com/2022/12/zerobot-botnet-emerges-as-growing.html
https://www.bleepingcomputer.com/news/security/zerobot-malware-now-spreads-by-exploiting-apache-vulnerabilities/
https://www.microsoft.com/en-us/security/blog/2022/12/21/microsoft-research-uncovers-new-zerobot-capabilities/