[ 200,538 page views, 69,039 usuários - média últimos 90 dias ] - [ 5.780 assinantes na newsletter, taxa de abertura 27% ]

Lá vem mais uma botnet: a Cha-cha-Lua

Um novo malware está sendo atacando dispositivos de Internet das Coisas (IoT) para colocá-los em uma botnet capaz de lançar ataques distribuídos de negação de serviço (DDoS). O alerta é de um relatório da Sophos Labs publicado ontem. Apelidado de Chalubo (ChaCha-Lua-bot), o malware incorpora código das famílias Xor.DDoS e Mirai, trazendo ainda melhorias na forma de técnicas anti-análise. Para isso, os autores criptografaram o componente principal e seu script Lua correspondente usando a cifragem ChaCha.

No final de agosto, os invasores foram observados usando três componentes maliciosos: um downloader, o bot principal e o script de comando Lua. O bot rodava apenas em sistemas com arquitetura x86. Algumas semanas atrás, os cibercriminosos começaram a usar o Elknot para entregar o restante de Chalubo. Mais importante, os pesquisadores de segurança da Sophos Labs observaram uma variedade de versões de bot, projetadas para diferentes arquiteturas, incluindo ARM de 32 e 64 bits, x86, x86_64, MIPS, MIPSEL e PowerPC.

Com essa lista de alvos, a Sophos concluiu que o autor do malware pode ter testado o bot no início e que o teste terminou. Desse modo, é esperado agora um aumento na atividade desta nova ameaça.

No início de setembro, o malware estava sendo distribuído através de ataques de força bruta em servidores SSH. Os atacantes estavam usando o par de credenciais root: admin para comprometer os dispositivos, revela a Sophos, com base em um ataque ao seus honeypots. “Esse bot demonstra maior complexidade em comparação com os bots padrão do Linux que normalmente vemos entregues a partir desses tipos de ataques. Os invasores não apenas usam uma abordagem em camadas para eliminar componentes maliciosos, mas a criptografia usada não é aquela que costumamos ver com o malware do Linux ”, observam os pesquisadores.

Um dos arquivos baixados pelo malware é um script, e a maneira como essa ação é executada é idêntica à da família Xor.DDoS. Na verdade, parece que o Chalubo copiou o código responsável pela persistência do malware. Além disso, os pesquisadores descobriram que os autores do Chalubo também copiaram alguns trechos de código do Mirai, incluindo algumas das funções aleatórias.

No entanto, a maioria dos códigos funcionais da nova família de malware é nova, já que o autor se concentrou principalmente na manipulação do Lua para realizar ataques DDoS com inundações de DNS, UDP e SYN.