Investigadores de seguridad de la empresa Trend Micro, advierten de la existencia de un nuevo troyano que infecta routers domésticos, mediante la realización de ataques de fuerza bruta contra sus interfaces de administración (WebMind).
De acuerdo con la noticia, en la actualidad el troyano se encuentra predominantemente infectando cientos de miles de routers en América Latina, que es también, posiblemente, el lugar donde este peligroso troyano se ha originado.
El nombre de este nuevo troyano es un misterio, pero circula el nombre de Toryabos, hasta ahora un troyano no identificado. No obstante, se conoce como funciona, se ha sabido que viene como un archivo que te puedes descargar desde internet. Viene en un formato ELF, que es un formato ejecutable utiliza en muchos sistemas operativos tipo Unix como Linux, Solaris, xBSD, y así sucesivamente.
La investigación preliminar sugiere que el troyano es capaz de montar ataques de fuerza bruta contra la pantalla de acceso a los routers, precisamente utilizando una lista predefinida de nombres de usuario y contraseñas, que el Troyano inyecta a velocidad de vertigo.
Hasta ahora es cierto que el principal objetivos de este troyano son los routers D-Link, sin embargo, los investigadores de la empresa antivirus Trend Micro no excluyen la posibilidad de que el troyano que trabajan en los demás routers.
El toryano es detectado como ELF_TSUNAMI.R, y el malware muestra las capacidades y características de red de las botsNets, que como dispositivo infectado se conecta a un servidor IRC donde escucha los comandos de los atacantes.
No hay mucha información detallada al respecto en este momento porque el análisis está actualmente en curso, pero esto no es la primera vez que el malware se ha centrado en atacar los routers de los usuarios de internet.
Ya en marzo de 2009, se descubrió el proyecto DroneBL, un gusano que infectaba los routers y módems DSL que funcionaban con el Firmware la distribución Debian mipsel.
En esa ocasión el malware era muy similar a este nuevo troyano, que ha sido detectado por Trend Micro, ya que también se conecta al IRC y es capaz de fuerza bruta los nombres de usuario y contraseñas.
Además, el gusano recolectaba nombres de usuario y contraseñas a través de infiltrarse en lo más profundo de los paquetes y mediante la explotación de los servidores MySQL.
En aquel entonces, su creador dejó un mensaje en el canal de control IRC, advirtiendo de la botnet, y alego que fue un experimento sin intenciones maliciosas que llegó a 80.000 clientes.
Las posibilidades de este tipo de malware son cada vez más frecuentes, y no es fácilmente eliminado. En un estudio publicado en 2009 investigadores de la Universidad de Columbia, sobre Detección e intrusión del Laboratorio de Sistemas de, afirmó que pueden existir hasta seis millones de Routers ADSL que se conectan a Internet con la contraseña por defecto, y que pueden ser atacados remotamente.