Peneliti keamanan telah menemukan varian baru Mirai yang berfokus pada menginfeksi peralatan jaringan dan IoT dengan tujuan utama mengubah perangkat ini menjadi jaringan server proxy yang digunakan untuk menyampaikan trafik berbahaya.

Botnet IoT yang digunakan sebagai server proxy bukanlah konsep baru, dan banyak botnet semacam itu telah terlihat sepanjang tahun lalu, yang paling terkenal adalah Linux.ProxyM.

Fitur proxy setara dengan fungsi DDoS

Fortinet mengklaim inilah varian baru Mirai yang fungsinya selain DDoS juga menyertakan fitur proxy juga. Namun menurut sumber di komunitas infosec yang berbicara dengan Error 404 Cyber News dengan janji anonimitas untuk tidak mengkritik Fortinet di depan umum, ini mungkin tidak 100% benar.

Sumber kami mengatakan bahwa pembuat malware sering bermain-main dengan variasi botnet Mirai yang dimaksudkan untuk bekerja sebagai server proxy sejak diluncurkan.

Varian Mirai yang ditemukan Fortinet dan terperinci dalam penelitian yang diterbitkan minggu lalu adalah varian Mirai pertama yang didistribusikan dengan konsistensi dan menempatkan fitur proxy pada tingkat kepentingan yang sama dengan opsi DDoS.

Varian baru Mirai ini bernama Mirai OMG

Fortinet telah menamai varian ini sebagai Mirai OMG – berbasis pada string OOMGA yang ditemukan di beberapa bagian kode sumber malware dimana istilah “Mirai” dulu – dan varian ini sekarang bergabung dengan keluarga Mirai yang sedang tumbuh yang juga menyertakan varian seperti Satori (Okiru), Masuta, dan Akuma.

Tapi sementara Fortinet belum menganalisis trafik yang mengalir melalui jaringan Mirai OMG, secara teori, seharusnya tidak berbeda dengan jenis trafik biasa yang telah diupdate jaringan proxy berbahaya selama bertahun-tahun. Ini termasuk:

  • Menyampaikan trafik yang ditujukan untuk server C&C malware untuk menyembunyikan lokasi mereka sebenarnya
  • Bertindak sebagai titik peluncuran untuk serangan dictionary dan brute force
  • Peluncuran serangan SQL Injection , CSRF, LFI, dan XSS