Los investigadores de la firma de seguridad informática Avast han publicado un informe que revela la existencia de una nueva botnet llamada Torii, cuyo objetivo es atacar dispositivos del Internet de las Cosas (IoT), y que a diferencia de otros esquemas de ataque similares, ha demostrado niveles de sofisticación nunca antes vistos.

La botnet fue descubierta por primera vez por un investigador independiente, cuyo usuario de Twitter es VessOnSecurity, quien detectó el malware después de realizar un análisis de su honeyspot, y hasta ahora, se ha propagado mediante un ataque proveniente de los nodos de salida de la red Tor.

Vess afirmó además que la modalidad de acción de Torii es bastante sofisticada, incluso más que la botnet temida por todos, Mirai. Posteriormente, el análisis de la amenaza por parte de Avast reveló que la botnet fue desarrollado por un hacker con amplio conocimiento del funcionamiento técnico de las botnets, en vez de desplegar un ataque tipo ‘cerrojo’ como se ha observado hasta ahora. Según el informe de Avast:

Torii viene con un conjunto bastante rico de características para la exfiltración de información (sensible), arquitectura modular capaz de buscar y ejecutar otros comandos y ejecutables, todo esto a través de múltiples capas de comunicación.

Según los investigadores, Torii podría estar activa desde el año pasado, y sus capacidades de orientación no son las que comúnmente se observan en una botnet. De hecho, el informe asegura que puede comprometer arquitecturas de hardware basadas en x86, x64, MIPS, SuperH, ARM, entre otras. En este sentido, casi todos los ordenadores de escritorio, smartphones, portátiles y tabletas que se utilizan hoy en día, pueden verse comprometidos por la botnet.

Con respecto al ataque en sí, la botnet se aprovecha de las contraseñas débiles en los dispositivos de la IoT para comprometer estos sistemas a través de un script de Shell que detecta o intenta detectar cuál es la arquitectura del dispositivo al cual pretende atacar. Posteriormente, ejecuta la carga del malware correspondiente.

Más en TekCrispy