MCCrash está especialmente diseñado para derribar servidores de Minecraft y realizar otros ataques DDoS.
Investigadores de Microsoft han descubierto una red de bots híbrida Windows-Linux que utiliza una técnica muy eficaz para derribar servidores de Minecraft y realiza ataques distribuidos de denegación de servicio en otras plataformas.
Denominada MCCrash, la botnet infecta máquinas Windows y dispositivos que ejecutan diversas distribuciones de Linux para su uso en ataques DDoS. Entre los comandos que acepta el software de la botnet hay uno llamado ATTACK_MCCRASH. Este comando rellena el nombre de usuario en una página de inicio de sesión de un servidor Minecraft con ${env:random payload of specific size:-a}. La cadena agota los recursos del servidor y hace que se bloquee.
"El uso de la variable env desencadena el uso de la biblioteca Log4j 2, lo que provoca un consumo anormal de los recursos del sistema (no relacionado con la vulnerabilidad Log4Shell), demostrando un método DDoS específico y altamente eficiente", escribieron los investigadores de Microsoft. "Una amplia gama de versiones del servidor de Minecraft puede verse afectada".
Actualmente, MCCrash está codificado para atacar sólo la versión 1.12.2 del software de servidor de Minecraft. La técnica de ataque, sin embargo, derribará los servidores que ejecutan las versiones 1.7.2 a 1.18.2, que ejecutan aproximadamente la mitad de los servidores de Minecraft del mundo. Si el malware se actualiza para atacar todas las versiones vulnerables, su alcance podría ser mucho mayor. Una modificación en la versión 1.19 del servidor de Minecraft impide que el ataque funcione.
"La amplia gama de servidores de Minecraft en riesgo pone de relieve el impacto que este malware podría haber tenido si hubiera sido codificado específicamente para afectar a versiones posteriores a la 1.12.2", escribieron los investigadores de Microsoft. "La capacidad única de esta amenaza para utilizar dispositivos IoT que a menudo no son monitoreados como parte de la botnet aumenta sustancialmente su impacto y reduce sus posibilidades de ser detectados."
El punto de infección inicial de MCCrash son las máquinas Windows que tienen instalado software que pretende dar licencias piratas del sistema operativo de Microsoft. Un código oculto en el software descargado infecta subrepticiamente el dispositivo con malware que acaba instalando malicious.py, un script python que proporciona la lógica principal de la botnet. A continuación, los dispositivos Windows infectados rastrean Internet en busca de dispositivos Debian, Ubuntu, CentOS e IoT que acepten conexiones SSH.
Cuando se encuentra, MCCrash utiliza credenciales de inicio de sesión comunes por defecto en un intento de ejecutar el mismo script malicious.py en el dispositivo Linux. Tanto el dispositivo Windows como el Linux forman entonces parte de una botnet que realiza el ataque Minecraft, así como otras formas de DDoS. El siguiente gráfico muestra el flujo del ataque.
Fuente: somoslibres
