Jaiz Anuar – Shutterstock.com
Security-Analysen zufolge verbreitet sich das auf der berüchtigten Mirai-Malware basierende Botnet Gayfemboy derzeit auf der ganzen Welt. Forscher von Chainxin X Lab stellten fest, dass Cyberkriminelle das Botnet seit November 2024 nutzen, um bislang unbekannte Schwachstellen anzugreifen. Zu den bevorzugten Zielen des Botnetzes gehören Router der Marken Four-Faith und Neterbit oder Smart-Home-Geräte.
In diesem Zusammenhang berichteten Experten von VulnCheck Ende Dezember vor einer Schwachstelle bei Industrieroutern von Four-Faith (CVE-2024-12856), die in freier Wildbahn ausgenutzt wurde. Die Angreifer nutzten demnach die Standardanmeldeinformationen des Routers aus, um eine Remote Command Injection zu starten.
Darüber hinaus wurde das Botnet für gezielte Angriffe auf unbekannte Schwachstellen in Neterbit-Routern und Smart-Home-Geräten von Vimar verwendet. Nach Angaben von Chainxin X Lab wird Gayfemboy für insgesamt 20 Schwachstellen und schwache Telnet-Passwörter eingesetzt. Es verfügt über ein Brute-Force-Modul für unsichere Telnet-Passwörter, verwendet benutzerdefiniertes UPX-Packing mit eindeutigen Signaturen und implementiert Mirai-basierte Befehlsstrukturen. Dadurch seien die Angreifer in der Lage, Clients zu aktualisieren, Netzwerke zu scannen und DDoS-Attacken durchzuführen.
