Chalubo

¿Qué es?

Chalubo, también conocida como ChaCha-Lua-Bot, es una botnet que se utiliza para lanzar ataques de denegación de servicio distribuido (DDoS) hacia dispositivos Linux, como servidores, dispositivos IoT y dispositivos de red, entre otros. Además, proporciona puertas traseras a los atacantes para realizar otras actividades maliciosas, tanto distribuidas como aisladas en los dispositivos infectados.

¿Qué hace?

Esta botnet permite a los atacantes controlar los dispositivos infectados y utilizarlos para realizar diferentes tareas, entre las que se destacan:

• Crea claves de registro en el sistema de los dispositivos afectados para crear persistencia.
• Accede y roba la información de los dispositivos infectados.
• Establece conexiones entre los servidores de mando y control (C2) y los dispositivos infectados.
• Deshabilita servicios del sistema para evitar que otro malware no controlado infecte también el dispositivo.
• Deshabilita la protección antivirus de los dispositivos infectados.
• Realiza conexiones con sitios maliciosos y descarga otros ficheros y programas maliciosos.
• Realiza ataques de denegación de servicio (DDoS) para saturar los recursos de un servicio y hacerlo inaccesible.
• Busca dispositivos en línea y verifica si tienen el puerto TCP/22 (SSH) abierto para acceder a sus sistemas por ataques de fuerza bruta.

Sistemas afectados

Los principales dispositivos afectados son:

• Sistemas con Linux.

¿Cómo me infecta?

Esta botnet se propaga mediante ataques de fuerza bruta a los dispositivos detectados con el puerto TCP/22 (SSH) abierto y el uso de diccionario de credenciales típicas, preestablecidas por los fabricantes.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar el malware de esta botnet: accede a los cleaners.

Más información

• Servidores SSH mal protegidos víctimas del botnet Chalubo
• Chalubo DDoS Botnet
• Chalubo Bot Family Launches Distributed Denial-of-Service Attacks Against Linux Systems