[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

botnet-iot-telnet.jpg

Variantes do Mirai transformam dispositivos IoT em botnets

A Unit 42, equipe de pesquisa de ameaças da Palo Alto Networks, encontrou uma nova atividade maliciosa direcionada a dispositivos IoT (internet das coisas), usando uma variante do Mirai, malware que transforma dispositivos em rede executando Linux — geralmente pequenos dispositivos IoT — em bots controlados remotamente que podem ser usados em ataques à rede em grande escala.

Apelidada de IZ1H9, a variante foi descoberta pela primeira vez em agosto de 2018 e desde então se tornou uma das versões do Mirai mais ativas.

Os pesquisadores da Unit 42 observaram em 10 de abril que uma onda de campanhas maliciosas, todas implantadas pelo mesmo operador de ameaça, está usando o IZ1H9 desde novembro de 2021. Eles publicaram uma análise de malware em 25 de maio.

O IZ1H9 inicialmente se espalha através dos protocolos HTTP, SSH e Telnet. Uma vez instalada em um dispositivo IoT, a botnet cliente IZ1H9 primeiro verifica a parte da rede do endereço IP do dispositivo infectado — assim como o Mirai original. A botnet cliente evita a execução de uma lista de bloqueios de IP, incluindo redes governamentais, provedores de internet e grandes empresas de tecnologia. Em seguida, torna sua presença visível imprimindo a palavra “darknet” no console.

“O malware também contém uma função que garante que o dispositivo esteja executando apenas uma instância desse malware. Se já existir um processo de botnet, o cliente de botnet encerrará o processo atual e iniciará um novo”, explicam os pesquisadores da a UniT 42 na análise.

A botnet cliente também contém uma lista de nomes de processo pertencentes a outras variantes do Mirai e outras famílias de botnet. O malware verifica os nomes dos processos em execução no host infectado para finalizá-los.

Veja isso
Nova variante da botnet Mirai infecta dispositivos Linux
Botnet Medusa retorna como variante baseada no Mirai DDoS

A variante IZ1H9 tenta se conectar a um endereço de comando e controle (C&C) codificado: 193.47.61[.]75. Uma vez conectada, o IZ1H9 inicializará uma tabela de string criptografada e recuperará as strings criptografadas por meio de um índice. Ele usa uma chave de tabela durante o processo de descriptografia da string: 0xBAADF00D. Para cada caractere criptografado, o malware executa a descriptografia XOR com as seguintes operações bytewise: cipher_char ^ 0xBA ^ 0xAD ^ 0xF0 ^ 0x0D = plain_char.

“As vulnerabilidades usadas por essa ameaça são menos complexas, mas isso não diminui seu impacto, pois ainda podem levar à execução remota de código. Depois que o invasor obtém o controle de um dispositivo vulnerável, ele pode incluir os dispositivos recém-comprometidos em sua botnet. Isso permite que realizem outros ataques, como ataques distribuídos de negação de serviço (DDoS). Para combater essa ameaça, é altamente recomendável que patches e atualizações sejam aplicados sempre que possível”, concluíram os pesquisadores da Unit 42.