A versão modificada da rede de dispositivos infectados pode explorar remotamente desde roteadores, câmeras IP, telefones VoIP, hubs domésticos inteligentes até scanners biométricos, entre outros
Uma nova variante da botnet Echobot foi identificada com um número crescente de explorações direcionadas a dispositivos sem rotina de atualizações, devices de IoT em sua maior parte. A versão modificada da rede de dispositivos infectados incluiu mais de 50 explorações que permitem a execução remota de código. Um pesquisador de segurança percebeu que a nova variante surgiu com ainda mais explorações, 77 no total.
O Echobot não é novo, original ou difícil de se defender, mas se destaca pelas explorações que integra e a diversidade de dispositivos visados, que vão desde roteadores, câmeras IP, telefones VoIP, sistemas de apresentação, hubs domésticos inteligentes, softwares, plataformas de análise de dados, scanners biométricos, sistemas de armazenamento conectados à rede e câmeras térmicas.
O pesquisador de segurança Carlos Brendel descobriu a nova variante do Echobot e afirmou nesta quinta-feira, 12, no Twitter, que as explorações estão hospedadas em dez endereços IP diferentes, enquanto o IP original foi retirado.
Assim como nas versões anteriores, o conta-gotas do malware está em um servidor aberto em um arquivo chamado Richard. Exceto pelo número de entradas, a nova lista de cargas não é muito diferente da anterior.
Segundo Brendel, parece que o autor da botnet está acumulando todas as explorações que ela pode integrar, como são algumas de 2009. As mais recentes são deste ano e visam produtos que não são usados pelos consumidores.
Quando os pesquisadores da Palo Alto Networks descobriram o Echobot pela primeira vez no início de junho, a rede de bots contava com 18 explorações. Esse número aumentou para cerca de 26 uma semana depois, conforme descoberto por Larry Cashdollar, da Akamai.
No início de agosto, Brendel descobriu que a lista de explorações havia explodido para quase 60, permitindo a execução remota de código em um dispositivo vulnerável.
No que diz respeito às arquiteturas de processador alvo, o autor da botnet não discrimina e abrange uma ampla variedade — ARM 4/5/6/7, x86, MIPS, PPC, SuperH, conforme visível na imagem abaixo.
Os dispositivos no MIPSL também são direcionados, mas um erro no caminho de localização do conta-gotas torna o Echobot ineficaz para esses sistemas. Todos os códigos de exploração são de fontes públicas e Brendel compilou uma lista com o tipo de risco que eles apresentam junto com a data em que se tornaram públicos, revelando uma década de RCEs ou injeção de comando que foram cobertas até agora.
