O GorillaBot é uma nova botnet baseada no código do Mirai, mas aprimorada com técnicas modernas de furtividade e criptografia. Em apenas três semanas, realizou mais de 300.000 ataques em 100 países. Diferente de versões anteriores, essa botnet usa soquetes TCP brutos em vez de requisições HTTP comuns, dificultando sua detecção. Além disso, os endereços dos servidores de controle (C2) são descriptografados dinamicamente, evitando a análise estática. Os dados trocados entre bot e servidor são protegidos por um algoritmo proprietário semelhante ao XTEA.
Leia também
Cellebrite proíbe a Sérvia de usar o seu software
Siemens corrige 100 vulnerabilidades
A autenticação da botnet com o servidor C2 ocorre por meio de um token de 4 bytes, que é combinado com uma matriz criptografada de 32 bytes e então convertido em um hash SHA-256. Esse hash é enviado ao servidor como prova de autenticidade e, caso validado, o servidor responde com um sinalizador confirmando a conexão. Os comandos de ataque também são transmitidos de forma ofuscada, utilizando uma combinação de SHA-256 e a Cifra de César. Após a descriptografia e verificação da integridade, o código segue para a função attack_parse, que é praticamente inalterada em relação ao Mirai original.
O GorillaBot possui técnicas avançadas para evitar análise. Ele verifica o arquivo /proc/self/status para detectar depuradores e, caso encontre um, encerra imediatamente a execução. Também analisa /proc/1/cgroup para identificar ambientes virtualizados, como Kubernetes, e desativa sua operação caso detecte uma máquina virtual. Além disso, a botnet detecta se está rodando em um ambiente de análise e pode modificar seu comportamento para dificultar a investigação.
Embora aproveite código antigo, o GorillaBot representa uma ameaça real, pois combina elementos bem conhecidos com técnicas inovadoras de ocultação. Ele reforça a ideia de que mesmo malwares já estudados podem se reinventar e continuar representando riscos significativos. Essa evolução constante das botnets torna essencial que as defesas cibernéticas sejam igualmente dinâmicas e adaptáveis.
