Démonbot

Demonbot est le nom d'un botnet et d'un malware utilisé pour infecter les appareils de l'Internet des objets (IoT). Le code sous-jacent de la menace est basé sur le Mirai Botnet , un cheval de Troie infectant les appareils IoT dont le code source a été divulgué en ligne en 2016.

Demonbot parcourt le Web à la recherche d'appareils adaptés aux appareils et exploite la vulnérabilité Hadoop pour les compromettre. En pratique, le malware exploite une vulnérabilité d'exécution de code à distance non authentifiée dans le module YARN (Yet Another Resource Negotiator). Ce module particulier a été utilisé par les organisations pour la planification des travaux et la gestion des ressources de cluster principalement.

Bien que Demonbot soit connu publiquement depuis un certain temps, il semble que certains cybercriminels se tournent toujours vers lui pour leurs activités menaçantes. En effet, une récente attaque contre des appareils IoT a été vue portant une variante de Demonbot aux côtés d'une autre variante Mirai Botnet qui a été développée par Scarface. La campagne vise un seul port - 60001, tandis que plusieurs autres ports semblent être utilisés comme une dérivation ou un appât. Selon les chercheurs, 60001 est un port largement utilisé parmi les appareils IoT, la majorité étant les caméras Defeway, qui occupent plus de 90% de toutes les caméras de ce port.