Según Fortinet, la botnet Goldoon explota la falla CVE-2015-2051 para propagar un script “dropper” desde un servidor malicioso. Este script está cuidadosamente diseñado para autoeliminarse y puede ejecutarse en varias arquitecturas de sistemas Linux. Una vez inyectado en un dispositivo, este “cuentagotas” descarga y ejecuta un archivo, abriendo la puerta a una serie de actividades maliciosas. Su función principal es recuperar el archivo de la botnet utilizando una clave XOR para descifrar cadenas específicas y construir el URI completo para la carga útil. Una vez descargado, la carga útil final se extrae mediante un encabezado codificado, mientras que se activan mecanismos de desinfección para ocultar los rastros en el sistema comprometido.
“ Aunque CVE-2015-2051 no es una vulnerabilidad nueva y tiene una baja complejidad de ataque, tiene un impacto crítico en la seguridad que puede conducir a la ejecución remota de código. Una vez que los atacantes explotan con éxito esta vulnerabilidad, pueden integrar los dispositivos comprometidos en su botnet para lanzar más ataques. », Advierten los investigadores del laboratorio Fortinet que descubrieron el relanzamiento de Goldoon.
Una vez infiltrado, el malware Goldoon puede lanzar varios ataques DDoS, incluyendo inundaciones TCP, inundaciones ICMP, así como ataques más dirigidos como Minecraft DDoS. Estos ataques pueden tener un impacto significativo, perturbando tanto objetivos individuales como redes más grandes.
