Quad7
¿Qué es?
Quad7, también conocida como 7777, es una botnet diseñada para comprometer enrutadores domésticos, cámaras IP y dispositivos IoT en general y se caracteriza por su enfoque en ataques de fuerza bruta y por el uso de proxies para encubrir sus actividades. Además, proporciona puertas traseras a los atacantes para realizar actividades maliciosas, tanto distribuidas como aisladas en los dispositivos infectados.
¿Qué hace?
Esta botnet permite a los atacantes controlar los dispositivos infectados y utilizarlos para realizar diferentes tareas, entre las que se destacan:
- Implementa varios tipos de malware en los dispositivos comprometidos, que incluyen herramientas de acceso remoto como xlogin y alogin.
- Permite a los atacantes obtener control sobre los dispositivos afectados, mediante el uso del puerto TCP/7777 (versiones más antiguas) y del puerto TCP/63256 (versiones más recientes).
- Instala proxies SOCKS5 en los dispositivos para redirigir el tráfico malicioso a través de ellos.
- Realiza ataques de fuerza bruta dirigidos, particularmente, a cuentas en Microsoft 365, mediante el uso de dispositivos infectados como un proxies para ocultar el origen del ataque.
- Redirige a los usuarios a servidores DNS controlados por los atacantes, que pueden ser utilizados para propagar malware o mostrar anuncios fraudulentos.
Sistemas afectados
Los principales dispositivos afectados son:
- Dispositivos IoT basados en Linux (especialmente aquellos de las marcas TP-Link y Asus).
¿Cómo me infecta?
Esta botnet se propaga mediante la explotación de vulnerabilidades conocidas, la ejecución de ataques de fuerza bruta para obtener acceso y el uso del protocolo TFTP para transferir malware.
Cómo desinfectar mi equipo
Las principales firmas de antivirus contienen reglas para detectar y eliminar el malware de esta botnet: accede a los cleaners.
