Uma botnet que se espalha principalmente por meio de vulnerabilidades de IoT e aplicativos da web adicionou novas explorações e recursos de ataque, alerta a Microsoft. Denominada Zerobot — também conhecido como ZeroStresser — é uma botnet desenvolvida em linguagem Go, vendida no submundo do cibercrime no modelo de malware como serviço (MaaS, na sigla em inglês), o que torna relativamente fácil para seus desenvolvedores atualizar funcionalidade regularmente.
Usada principalmente para ataques distribuídos de negação de serviço (DDoS), a botnet é composta por dispositivos conectados comprometidos, como firewalls, roteadores e câmeras, de acordo com um novo blog da equipe de inteligência em ameaças de segurança da Microsoft.
A gigante da tecnologia observou recentemente a Zerobot explorando vulnerabilidades nos servidores de código aberto Apache (CVE-2021-42013) e Apache Spark (CVE-2022-33891) para comprometer esses dispositivos. Isso além dos dispositivos de força bruta protegidos apenas por padrão ou credenciais fracas.
“Ao obter acesso ao dispositivo, a Zerobot injeta uma carga maliciosa, que pode ser um script genérico chamado zero.sh que baixa e tenta executar a botnet, ou um script que baixa o binário da Zerobot de uma arquitetura específica”, explicou a Microsoft.
Veja isso
Botnet Mantis ataca mais de mil organizações em um mês
Google vence processo contra operadores da botnet Glupteba
“O script bash que tenta baixar diferentes binários da Zerobot tenta identificar a arquitetura por força bruta, tentando baixar e executar binários de várias arquiteturas até conseguir, pois os dispositivos IoT são baseados em muitas unidades de processamento de computador (CPUs).”
Para obter persistência em dispositivos Linux, a botnet usa uma combinação de entrada de desktop, daemon e métodos de serviço, enquanto no Windows ele se copia para a pasta de inicialização com o nome de arquivo “FireWall.exe”, acrescentou a Microsoft.
A Zerobot 1.1 também possui sete novos recursos de ataque DDoS projetados para tornar a botnet uma perspectiva mais atraente para possíveis compradores. “Em quase todos os ataques, a porta de destino é personalizável e os agentes de ameaças que compram o malware podem modificar o ataque de acordo com seu alvo”, explicou a fabricante de software.