C0XMO-Botnet: Neue Variante jagt DD-WRT-Router mit 19 DDoS-Methoden

Eine neu entdeckte Variante des Gafgyt-Botnets breitet sich rasant aus und macht gezielt Jagd auf anfällige Router-Firmware. Das von Forschern bei Fortinet identifizierte Schadprogramm mit dem Namen C0XMO rekrutiert infizierte Geräte für großflächige DDoS-Attacken – und räumt dabei konsequent die Konkurrenz aus dem Weg.

So dringt der Schädling in die Router ein

C0XMO nutzt gezielt eine kritische Sicherheitslücke in der Firmware von DD-WRT-Routern aus. Die Schwachstelle CVE-2021-27137 ist ein sogenannter Stack-Buffer-Overflow im UPnP-Dienst – und erlaubt Angreifern den Zugriff, ohne dass gültige Anmeldedaten nötig wären.

Anzeige: Das C0XMO-Botnet nutzt gezielt die DD-WRT-Lücke CVE-2021-27137 aus – und räumt dabei andere Schadsoftware von infizierten Geräten. Bevor Ihre Router Teil dieser DDoS-Armee werden, sollten Sie die fünf wichtigsten Schutzmaßnahmen kennen. Jetzt kostenlosen Sicherheits-Report anfordern

Doch damit nicht genug: Das Botnet greift auf eine ganze Palette weiterer Sicherheitslücken zurück. Dazu zählen die bekannten Schwachstellen CVE-2015-2051 und CVE-2022-35914. Auch Avtech-DVR-Geräte und Systeme mit aktiviertem Android Debug Bridge stehen im Fadenkreuz der Angreifer.

Modulare Bauweise für maximale Wirkung

Die Architektur von C0XMO ist bemerkenswert flexibel. Das Schadprogramm läuft auf zahlreichen Prozessorarchitekturen – darunter ARM, MIPS, PowerPC, x86 und x86_64. Diese breite Kompatibilität macht es besonders gefährlich.

Nach der Infiltration sichert sich die Malware dauerhaft den Zugriff auf das gekaperte Gerät. Dazu nutzt sie Cron-Jobs, die regelmäßig die Kontrolle übernehmen. Parallel dazu setzt C0XMO auf Brute-Force-Angriffe gegen SSH- und Telnet-Dienste, um weitere verwundbare Hardware zu finden.

Kampf um die Vorherrschaft im Netzwerk

Anzeige: Ihre Router könnten bereits kompromittiert sein: C0XMO nutzt Brute-Force gegen SSH/Telnet und sichert sich per Cron-Job dauerhaften Zugriff. Der Report zeigt, wie Sie infizierte Geräte erkennen und die Angriffsfläche minimieren. Router-Sicherheits-Check jetzt durchführen

Ein besonders aggressives Merkmal: C0XMO räumt die Konkurrenz aus dem Weg. Das Programm ist darauf programmiert, andere Botnet-Varianten oder sonstige Schadsoftware auf dem befallenen Gerät zu identifizieren und zu entfernen. Die Ressourcen des Geräts sollen exklusiv dem neuen Botnet zur Verfügung stehen.

Die operative Schlagkraft ist enorm: Den Betreibern stehen 19 verschiedene DDoS-Methoden zur Verfügung. Damit lassen sich hochkomplexe Angriffe auf Webserver und Netzwerke starten. Die modulare Code-Struktur deutet darauf hin, dass C0XMO in Zukunft leicht um weitere Exploits erweitert werden könnte.

Für deutsche Nutzer bedeutet dies: Regelmäßige Firmware-Updates und die Deaktivierung nicht benötigter Dienste wie UPnP sind der beste Schutz. Besitzer von DD-WRT-Routern sollten umgehend prüfen, ob die aktuellste Firmware-Version installiert ist.

de | wissenschaft | 69497734 |