busca twitter linkedin facebook fale anuncie blogs eventos categorias home headlines instagram home apex chemicals

Nova Mirai roda em diferentes plataformas

Ataque da Mirai em 2016

Parece que os desenvolvedores de botnets começaram a resolver o problema de portabilidade desse tipo de malware. E para piorar, estão começando logo com a Mirai. Foi essa botnet que em 2016 atacou o provedor de DNS Dyn, nos EUA, deixando fora de alcance sites como GitHub, Twitter, Reddit, Netflix, Airbnb e muitos outros. A suspeita de que a portabilidade está resolvida é do pesquisador Dinesh Venkatesan, que chefia a equipe da Symantec. Em julho, ele localizou um servidor hospedando diversas variantes do malware, cada uma delas para uma plataforma específica. Como acontece com muitas infecções do Mirai, ele inicia disparando um shell script em um dispositivo vulnerável. Esse script tenta fazer o download e executar outros arquivos, um por um, até que um deles seja compatível com aquela arquitetura e entre em ação. Essa nova variante pode ser usada para atacar várias arquiteturas, incluindo ARM, MIPS, PowerPC e x86.

Um dos principais problemas para uma botnet de IoT é a portabilidade. O malware deve ser capaz de rodar em diferentes arquiteturas e plataformas, em um container independente, sem surpresas de runtime ou de configuração incorreta. Essa também é uma área em que muitos autores de malware inexperientes, ou script-kiddies, falham se simplesmente copiam / colam e reutilizam a base de códigos de malware existente, diz o pesquisador.

Segundo Venkatesan, embora o comportamento dos scripts localizados seja semelhante às variantes do Mirai vistas até agora, o que o torna interessante é o binário compilado. “Essas variantes foram criadas com o aproveitamento de um projeto de código aberto chamado Aboriginal Linux, que torna o processo de compilação cruzada fácil, eficaz e praticamente à prova de falhas”, diz a análise publicada por ele. “Deve-se notar que não há nada malicioso ou errado com este projeto de código aberto, já que os autores de malware estão mais uma vez utilizando ferramentas legítimas para complementar suas criações, desta vez com uma solução eficaz de compilação cruzada”, finaliza.

Ciso_logo_75porcento