Hace pocos días, investigadores de Microsoft Defender for IoT descubrieron contenidos maliciosos a modo de descarga que afectan a dispositivos Windows y Linux. Estos, entre otros métodos de propagación, capturan dispositivos locales en una botnet utilizada para atacar servidores contra Minecraft en todo el mundo.
Los actores de amenazas, o más probablemente los script kiddies, siempre están buscando nuevas formas de sembrar el caos en el mundo, ¿y qué mejor manera que atacar el mundo de los videojuegos? La botnet, llamada MCCrash, se origina a partir de software malicioso incrustado en herramientas de crackeo de software para dispositivos Windows, desde donde se propagará a Linux o dispositivos IoT. A continuación, se propaga intentando utilizar credenciales predeterminadas en dispositivos SSH expuestos a Internet, como los dispositivos IoT.
Curiosamente, los investigadores señalan que esta extensa botnet ha capturado en gran medida dispositivos con base en Rusia y probablemente forma parte de un servicio que se vende en sitios web oscuros o foros. Se trate o no de una plataforma DDoS-as-a-service, funciona para derribar servidores Java de Minecraft mediante el envío de paquetes especialmente diseñados para agotar los recursos del servidor de Minecraft. Específicamente, esto aprovecha la biblioteca Log4j 2 y su variable env para derribar los sistemas, pero no está relacionado con la vulnerabilidad Log4Shell.
Los investigadores también señalan que el malware utilizado para la botnet está codificado para la versión 1.12.2 del servidor de Minecraft. En teoría, sin embargo, funcionaría desde la versión 1.7.2 hasta la 1.18.2, que abarca muchos servidores de Minecraft en todo el mundo. Afortunadamente, un cambio realizado contra Minecraft 1.19 impide el uso de estos comandos y capacidades.
En cualquier caso, esta botnet es especialmente peligrosa por su uso de dispositivos IoT, lo que reduce su detectabilidad y aumenta su impacto, según los investigadores. Sin embargo, debido a que el malware fue codificado para atacar sólo la versión 1.12.2 de Minecraft, su alcance es significativamente más limitado, aunque eso podría cambiar o ser copiado por otra botnet en el futuro.
Ché Sáez 