Condi, un logiciel malveillant récent, exploite les routeurs Wi-Fi TP-Link pour mener des attaques de botnet DDoS.
Un logiciel malveillant récent nommé Condi cible les routeurs Wi-Fi TP-Link Archer AX21 en exploitant leurs vulnérabilités. Il vise à intégrer les appareils affectés dans un botnet DDoS, amplifiant ainsi les attaques. Zoom sur cette menace et ses capacités.
Condi : le botnet en pleine expansion
Depuis fin mai 2023, Fortinet FortiGuard Labs a observé l’escalade de Condi. Ce logiciel est créé par un individu utilisant l’alias zxcr9999 sur Telegram. Par ailleurs, zxcr9999 gère la chaîne Telegram Condi Network, lancée en mai 2022, pour promouvoir son malware. Surprenamment, il vend également des DDoS sous forme de service et le code source de Condi.
Les chercheurs Joie Salvio et Roy Tay ont révélé que Condi élimine d’autres botnets sur le même appareil. Toutefois, il ne survit pas aux redémarrages système, car il manque de mécanisme de persistance. Pour compenser cela, ce malware supprime des fichiers binaires, empêchant le système de redémarrer.
Au lieu d’attaques par force brute, Condi exploite un scanner qui vérifie la vulnérabilité des appareils TP-Link Archer AX21. Si ces derniers sont vulnérables, il exécute un script pour installer le malware. En particulier, il repère les routeurs sensibles à CVE-2023-1389, une faille déjà exploitée par le botnet Mirai. Fortinet indique que Condi exploite diverses vulnérabilités pour se propager. Ainsi, les attaquants pourraient cibler les logiciels non corrigés. Outre sa monétisation, ce malware cherche à créer un puissant botnet DDoS pouvant être loué pour lancer des attaques sur des sites et services.
Vous aimerez aussi cet article:
Autres menaces et précautions
Parallèlement, AhnLab Security Emergency Response Center (ASEC) rapporte que des serveurs Linux mal sécurisés sont exploités pour alimenter des bots DDoS tels que ShellBot, Tsunami et Condi. Ils utilisent également ces derniers pour miner des cryptomonnaies en cachette.
Tsunami, dont le code source est public, est largement utilisé, notamment dans les attaques contre les appareils IoT et les serveurs Linux. Les attaques impliquent l’utilisation de scripts malveillants et l’installation de portes dérobées. ASEC conseille d’utiliser des mots de passe solides et de maintenir les serveurs à jour pour se protéger contre ces attaques.
