Nexcorium Desatado: Dentro de la Silenciosa Toma de Control de DVRs TBK por Hackers del Nexus Team Una nueva variante del botnet Mirai explota fallos recientes y olvidados para reclutar dispositivos IoT en ejércitos del cibercrimen. Todo comenzó con una cabecera HTTP críptica - “X-Hacked-By: Nexus Team – Exploited By Erratic” - que apareció en el rastro digital de sistemas de videovigilancia comprometidos. Para cuando los investigadores descifraron el patrón, miles de cámaras y grabadores conectados a Internet ya habían sido reclutados en un nuevo y sombrío botnet. El culpable: Nexcorium, una peligrosa cepa de malware diseñada para acechar los rincones más descuidados del Internet de las Cosas. Datos Rápidos - Los atacantes están explotando la vulnerabilidad CVE-2024-3721, una falla de inyección de comandos en el sistema operativo de los DVRs TBK. - Nexcorium es una nueva variante del botnet Mirai, que se propaga tanto por vulnerabilidades nuevas como antiguas. - El malware apunta a contraseñas débiles por defecto y utiliza múltiples métodos de persistencia. - Se atribuye al “Nexus Team”, un grupo de amenazas previamente poco conocido. - Los expertos instan a actualizar urgentemente el firmware y cambiar las contraseñas de los dispositivos IoT. Cómo Nexcorium Secuestra DVRs TBK La campaña de ataques, descubierta por FortiGuard Labs de Fortinet, apunta a una vulnerabilidad crítica (CVE-2024-3721) presente en populares grabadores de video digital TBK - específicamente modelos como DVR-4104 y DVR-4216. Este fallo permite a los atacantes inyectar comandos directamente en el sistema operativo del dispositivo, eludiendo los controles de seguridad habituales. Una vez dentro, los hackers despliegan un script malicioso que descarga el malware Nexcorium adaptado para diversas arquitecturas de dispositivos (ARM, x86-64 y más). La infección se identifica por una firma única en el tráfico de red, lo que permitió a los investigadores rastrearla hasta el llamado “Nexus Team” - un grupo cibercriminal emergente que se da a conocer con esta campaña. Construyendo un Ejército de Botnets Tras tomar el control, Nexcorium no se detiene en una sola víctima. Se propaga rápidamente forzando inicios de sesión en Telnet con una lista de contraseñas por defecto o débiles - aprovechando el conocido hábito de dejar las credenciales de fábrica sin cambiar. El malware también explota una vulnerabilidad más antigua (CVE-2017-17215) en routers Huawei, ampliando su alcance en el panorama IoT. Una vez infectado, el dispositivo se integra en un botnet, listo para ser utilizado en ataques masivos de denegación de servicio distribuido (DDoS) capaces de paralizar sitios web y servicios en línea. Persistencia y Evasión Nexcorium está diseñado para ser difícil de erradicar. Se copia en directorios ocultos y establece múltiples puntos de apoyo, modificando archivos de inicio del sistema, creando servicios personalizados en segundo plano y programando tareas recurrentes. Si los equipos de seguridad intentan eliminarlo, los mecanismos redundantes de persistencia del malware aseguran que vuelva a la vida tras cada reinicio. Para ocultar sus huellas, Nexcorium elimina su ejecutable original, dificultando el análisis forense. Defensa Contra la Amenaza Los expertos advierten que la mejor defensa es la higiene proactiva: parchear todos los dispositivos IoT de inmediato, especialmente los DVRs TBK y routers antiguos. Cambiar todas las contraseñas por defecto - sin excepciones. Los administradores de red también deberían bloquear el tráfico saliente hacia dominios maliciosos conocidos y monitorear señales de escaneo o actividad de fuerza bruta inusual. En una era donde incluso las cámaras de seguridad pueden convertirse en armas, la negligencia no es una opción. Conclusión La campaña Nexcorium es un recordatorio contundente de que los dispositivos olvidados de ayer pueden convertirse en las ciberarmas de mañana. A medida que el IoT sigue proliferando, la vigilancia, las actualizaciones oportunas y una política de tolerancia cero con las contraseñas por defecto son lo único que separa al mundo digital del próximo apagón impulsado por botnets. WIKICROOK - Botnet: Una botnet es una red de dispositivos infectados controlados remotamente por ciberdelincuentes, utilizada a menudo para lanzar ataques a gran escala o robar datos sensibles. - Inyección de Comandos: La inyección de comandos es una vulnerabilidad en la que los atacantes engañan a los sistemas para ejecutar comandos no autorizados insertando entradas maliciosas en campos o interfaces de usuario. - Ataque DDoS: Un ataque DDoS ocurre cuando muchas computadoras saturan un servicio con solicitudes falsas, sobrecargándolo y haciéndolo lento o inaccesible para los usuarios legítimos. - Mecanismo de Persistencia: Un mecanismo de persistencia es un método utilizado por el malware para permanecer activo en un sistema, sobreviviendo a reinicios e intentos de eliminación por parte de usuarios o herramientas de seguridad. - Fuerza Bruta Telnet: Fuerza Bruta Telnet es un ciberataque que utiliza herramientas automatizadas para adivinar inicios de sesión en Telnet probando muchas combinaciones de usuario y contraseña para obtener acceso.