Una nuova minaccia informatica si sta diffondendo sotto il nome di RondoDox, una botnet in fase di costruzione che potrebbe presto colpire migliaia di prodotti in tutto il mondo. A lanciare l’allarme sono stati i ricercatori di Fortinet FortiGuard Labs, che hanno osservato l’exploit attivo di due vulnerabilità critiche, identificate come CVE-2024-3721 e CVE-2024-12856.
Le falle di sicurezza sono presenti nei registratori digitali video (DVR) TBK, modelli DVR-4104 e DVR-4216, e nei router Four-Faith, modelli F3x24 e F3x36. Secondo gli esperti, queste vulnerabilità vengono sfruttate per compromettere i dispositivi e integrarli nella rete botnet, con l’obiettivo potenziale di lanciare attacchi DDoS o distribuire ulteriori payload malevoli.
RondoDox sfrutta dispositivi dimenticati per costruire una botnet invisibile
Secondo quanto riportato da BleepingComputer, le stesse vulnerabilità oggi sfruttate da RondoDox erano già state utilizzate in passato dai creatori della famigerata botnet Mirai. A rendere questi dispositivi così appetibili per i criminali informatici è il fatto che vengono spesso impiegati in negozi al dettaglio, magazzini e piccoli uffici, dove rimangono non monitorati per anni, senza aggiornamenti o patch.
Questo li rende bersagli ideali: facili da compromettere, e destinati a restare attivi a lungo senza alcuna manutenzione. Le botnet, del resto, rappresentano strumenti versatili per i cybercriminali: permettono di lanciare attacchi DDoS, offrire servizi proxy residenziali a pagamento, oppure mascherare traffico malevolo per scopi più sofisticati.
Nel caso specifico, RondoDox sembra essere usata per proxy stealth, mascherando il traffico di comando e controllo (C2) al fine di nascondere attività più complesse. Viene anche impiegata in truffe a più livelli e per potenziare campagne DDoS su commissione. Particolarmente preoccupante è la capacità della botnet di restare invisibile, simulando traffico da videogiochi e app popolari.
“Per evitare il rilevamento, RondoDox camuffa il traffico dannoso emulando giochi e piattaforme come Valve, Minecraft, Dark and Darker, Roblox, DayZ, Fortnite, GTA, oltre ad applicazioni come Discord, OpenVPN, WireGuard e RakNet,” spiega Fortinet. “Può anche simulare traffico personalizzato di servizi di tunneling e comunicazione in tempo reale, come WireGuard, OpenVPN (openvpnauth, openvpncrypt, openvpntcp), STUN, DTLS e RTC.”
Per difendersi, gli esperti raccomandano di aggiornare il firmware dei dispositivi e usare password robuste e uniche. Se non più supportati dai produttori, è consigliabile sostituirli con modelli più recenti. Infine, è buona pratica disconnetterli da internet o isolarli dietro un firewall, per ridurre il rischio di compromissione.
Via The Hacker News