[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

Mirai visa falhas em dispositivos D-Link, Zyxel, Netgear e TP-Link

Uma variante da botnet Mirai visa quase duas dúzias de vulnerabilidades com o objetivo de assumir o controle de dispositivos D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear e MediaTek e usá-los em ataques distribuídos de negação de serviço (DDoS).  O malware foi identificado pelos pesquisadores da Unit 42 da Palo Alto Networks em duas campanhas em andamento que começaram em 14 de março e aumentaram em abril e junho.

Em um relatório divulgado nesta quinta-feira, 22, os pesquisadores alertam que os desenvolvedores da botnet continuam a adicionar código para vulnerabilidades exploráveis. No total, o malware atinge nada menos que 22 falhas de segurança conhecidas em vários produtos de conectividade e comunicação, tais como roteadores, gravadores digitais de vídeo (DVRs), gravadores de vídeo em rede (NVRs), dongles de comunicação Wi-Fi, sistemas de monitoramento térmico, sistemas de controle de acesso e monitores de geração de energia solar.

Uma dessas falhas, rastreada como CVE-2023-1389, afeta o roteador WiFi TP-Link Archer A21 (AX1800) e foi relatada pela ZDI como sendo explorada pelo malware Mirai desde o final de abril. No entanto, não está claro se os dois se referem à mesma atividade.

Veja isso
Nova variante da botnet Mirai infecta dispositivos Linux
Condi constrói botnet DDoS a partir de roteadores TP-Link AX21

O ataque começa com a exploração de uma das falhas mencionadas, preparando o terreno para a execução de um script de shell de um recurso externo. Esse script fará o download da botnet que corresponde à arquitetura do dispositivo comprometido, abrangendo armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k e sparc. Após a execução da versão cliente da botnet, o downloader de script shell exclui o arquivo do cliente para varrer os rastros de infecção e reduzir a probabilidade de detecção.

A Unit 42 observa que esta variante do Mirai não tem a capacidade de força bruta de credenciais de login Telnet/SSH, então sua distribuição depende inteiramente de operadores que exploram manualmente as vulnerabilidades.