一种新的星际风暴僵尸网络感染13K Mac和Android设备！

星际风暴恶意软件已经被发现，它提供了新的检测策略--规避策略，现在的目标是Mac和Android设备(除了Windows和Linux，这是之前的恶意软件变体所针对的)。

该恶意软件正在建造一个僵尸网络，目前估计全世界84个国家有13500台受感染的机器，而且这个数字还在继续增长。受感染的机器有一半在香港、韩国和台湾。其他感染系统在俄罗斯、巴西、美国、瑞典和中国。

Barracuda的研究员说：“虽然这个恶意软件正在建立的僵尸网络还没有明确的功能，但它给了作战人员进入受感染设备的后门，以便他们以后可以被用于加密、ddos或其他大规模攻击。

星际风暴的第一个变体于2019年5月被发现，目标是Windows。在六月，针对Linux的变体也有报道，物联网设备，如运行在android操作系统上的电视，以及基于linux，比如配置不良的SSH服务的路由器。

僵尸网络是用GO编写的，它使用了libp2p的GO实现，是一个网络框架，允许用户编写分散的对等(P2P)应用程序。这个框架最初是星际文件系统(IPFS)的网络协议，研究人员以该恶意软件的名字为基础。

恶意软件被称为星际风暴，它使用了星际文件系统(IPFS)P2P网络及其底层Libp2p实现。“这允许受感染的节点直接或通过其它节点(即中继)进行通信。”

恶意软件通过暴力攻击使用SecureShell(SSH)的设备传播，SSH是一种加密网络协议，用于在不安全的网络上安全地操作网络服务。研究员注意到类似FritzFrog另一个P2P恶意软件。另一种感染方法是访问打开的AppleDesktop总线(Adb)端口，这些端口将低速设备与计算机连接起来。

研究员说：“恶意软件检测到受害者的CPU架构和运行操作系统，并且可以在基于ARM的机器上运行，这种架构在路由器和其他物联网设备中非常常见。”

一旦感染，设备将与命令和控制(C2)服务器通信，以通知它们是僵尸网络的一部分。研究员说，每台受感染机器的ID都是在初始感染期间生成的，如果机器重新启动或恶意软件更新，这些ID将被重用。

一旦下载，它还向网络中的其它节点提供恶意软件文件。恶意软件还可以实现反向外壳，还可以运行bashshell。

协议ID“研究员说：“Libp2p应用程序基于逻辑地址(即传输层未知)处理传入连接 (streams) 。“按照约定，协议ID具有类似路径的结构，版本号作为最终组件。

文章翻译来自T00ls