Scoperto malware che sfrutta router TP-Link per attacchi DDoS

Gli esperti di sicurezza hanno individuato e analizzato un malware, chiamato Condi, capace di sfruttare alcuni router per effettuare attacchi DDoS (Distributed Denial-of-Service).

I dispositivi in questione, a quanto pare, sfrutta una vulnerabilità individuata nei router Wi-Fi TP-Link Archer AX21 (AX1800), attraverso cui collega tali dispositivi a una botnet. Secondo quanto affermato da Fortinet FortiGuard Labs, questo tipo di minaccia ha avuto un’impennata di attacchi verso la fine del mese di maggio.

Condi è stato realizzato da un hacker conosciuto su Telegram, dove gestisce un canale, come zxcr9999. Joie Salvio e Roy Tay, due ricercatori di sicurezza, hanno affermato come “Il canale Telegram è stato aperto a maggio 2022 e l’autore della minaccia ha monetizzato la sua botnet fornendo DDoS-as-a-service e vendendo il codice sorgente del malware“.

Un’analisi di Condi ha rivelato la sua capacità di interrompere altre botnet concorrenti che agiscono sullo stesso host. Nonostante ciò, l’agente malevolo, ha dimostrato anche dei potenziali punti di debolezza.

Il malware Condi mette in pericolo alcuni router TP-Link

Il riavvio del sistema infatti, sembra mettere il difficoltà l’agente malevolo. Sotto questo punto di vista, zxcr999 sembra comunque aver cercato delle soluzioni. Il malware, infatti, elimina più file binari utilizzati nel contesto di arresti o riavvii.

Condi, a differenza di alcune botnet che si propagano tramite attacchi di forza bruta, sfrutta un modulo scanner che verifica la presenza di dispositivi TP-Link Archer AX21 vulnerabili e, in tal caso, esegue uno script shell recuperato da un server remoto per depositare il malware.

L’agente malevolo, a quanto pare, mira a intrappolare i dispositivi per creare una potente botnet DDoS che può essere affittata da a terzi per orchestrare attacchi di mirati a siti Web specifici.

A tale scopo, il suddetto canale Telegram, diventa un ottimo canale di promozione per zxcr999 e per la sua “creazione”. A tal proposito, comunque, è facile immaginare come il produttore di router, uno dei più apprezzati dell’intero settore, troverà ben presto adeguate contromisure.