Uma variante da botnet Mirai visa quase duas dúzias de vulnerabilidades com o objetivo de assumir o controle de dispositivos D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear e MediaTek e usá-los em ataques distribuídos de negação de serviço (DDoS). O malware foi identificado pelos pesquisadores da Unit 42 da Palo Alto Networks em duas campanhas em andamento que começaram em 14 de março e aumentaram em abril e junho.
Em um relatório divulgado nesta quinta-feira, 22, os pesquisadores alertam que os desenvolvedores da botnet continuam a adicionar código para vulnerabilidades exploráveis. No total, o malware atinge nada menos que 22 falhas de segurança conhecidas em vários produtos de conectividade e comunicação, tais como roteadores, gravadores digitais de vídeo (DVRs), gravadores de vídeo em rede (NVRs), dongles de comunicação Wi-Fi, sistemas de monitoramento térmico, sistemas de controle de acesso e monitores de geração de energia solar.
Uma dessas falhas, rastreada como CVE-2023-1389, afeta o roteador WiFi TP-Link Archer A21 (AX1800) e foi relatada pela ZDI como sendo explorada pelo malware Mirai desde o final de abril. No entanto, não está claro se os dois se referem à mesma atividade.
Veja isso
Nova variante da botnet Mirai infecta dispositivos Linux
Condi constrói botnet DDoS a partir de roteadores TP-Link AX21
O ataque começa com a exploração de uma das falhas mencionadas, preparando o terreno para a execução de um script de shell de um recurso externo. Esse script fará o download da botnet que corresponde à arquitetura do dispositivo comprometido, abrangendo armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k e sparc. Após a execução da versão cliente da botnet, o downloader de script shell exclui o arquivo do cliente para varrer os rastros de infecção e reduzir a probabilidade de detecção.
A Unit 42 observa que esta variante do Mirai não tem a capacidade de força bruta de credenciais de login Telnet/SSH, então sua distribuição depende inteiramente de operadores que exploram manualmente as vulnerabilidades.