Novi malver Condi inficira ranjive TP-Link Wi-Fi rutere

Opisi virusa, 22.06.2023, 09:00 AM

Novi malver Condi inficira ranjive TP-Link Wi-Fi rutere

Istraživači iz Fortinet FortiGuard Labsa primetili su kako novi malver nazvan Condi iskorišćava bezbednosnu ranjivost u TP-Link Archer AX21 (AX1800) Wi-Fi ruterima da poveže uređaje u DDoS (distributed denial-of-service) bot mrežu. Prema rečima istraživača, kampanja je krajem marta 2023. intenzivirana.

Condi je delo nekog ko se na Telegramu zove zxcr9999 i ko vodi Telegram kanal Condi Network gde reklamira malver. Telegram kanal se pojavio u maju prošle godine i onaj ko stoji iza njega zarađivao je pružajući usluge DDoS napada, ali i od prodaje izvornog koda malvera.

Analizirajući uzorak malvera, istraživači su zaključili da je Condi pametni botnet koji može da prekine sve procese konkurentskih malvera na istom uređaju. Condi čak sprečava svoje starije verzije da obavljaju bilo kakve aktivnosti.

Međutim, nedostaje mu mehanizam postojanosti, što znači da ne može da preživi restartovanje sistema. Ovo ograničenje rešeno je brisanjem više binarnih fajlova koji se koriste za gašenje ili ponovno pokretanje sistema.

Condi koristi modul skenera koji proverava ranjive TP-Link Archer AX21 uređaje, i ako ih nađe pokreće skriptu koju preuzima sa servera koji je pod kontrolom napadača. Ono što malver traži su ruteri sa CVE-2023-1389 ranjivošću, koju je u aprilu ove godine iskorišćavao Mirai botnet.

Međutim, istraživači kažu da su pronašli i druge uzorke Condi malvera koji za širenje koriste nekoliko poznatih bezbednosnih grešaka, što ukazuje da oni koji stoje iza malvera pokušavaju da prošire svoj domet.

Misija koju ima Condi je porobljavanaje uređaja sa ciljem stvaranja moćne DDoS bot mreže koju drugi sajber kriminalci mogu iznajmljivati za napade na veb sajtove i onlajn servise.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nova verzija malvera NodeStealer ne krade samo Facebook lozinke, već i sve druge lozinke iz različitih veb pregledača

Nova verzija malvera NodeStealer ne krade samo Facebook lozinke, već i sve druge lozinke iz različitih veb pregledača

Netskope Threat Labs upozorava na napade u kojima se koriste Python skripte za krađu lozinki i podataka iz veb pregledača korisnika Facebooka. Ova k... Dalje

Novi trojanac se širi preko Telegrama i Discorda

Novi trojanac se širi preko Telegrama i Discorda

Tim za istraživanje pretnji kompanije Uptycs otkrio je početkom avgusta novi malver nazvan QwixxRAT. Trojanac za daljinski pristup (RAT) je privukao... Dalje

Novi ransomware Knight krije se u mejlovima Tripadvisora

Novi ransomware Knight krije se u mejlovima Tripadvisora

Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribu... Dalje

Hakerska grupa ruske obaveštajne službe koristi novi malver za špijunažu ciljeva u istočnoj Evropi

Hakerska grupa ruske obaveštajne službe koristi novi malver za špijunažu ciljeva u istočnoj Evropi

Ruska hakerska grupa BlueBravo iza koje stoji država napada diplomatske entitete širom istočne Evrope inficirajući uređaje ciljeva novim backooro... Dalje

Novi malver inficira macOS računare i krade lozinke iz veb pretraživača

Novi malver inficira macOS računare i krade lozinke iz veb pretraživača

Početkom meseca istraživač bezbednosti iamdeadlyz upozorio je na više lažnih blokčejn igara koje se koriste za inficiranje Windows i macOS raču... Dalje