Um sindicato de cibercrime desconhecido anteriormente chamado 'Bigpanzi' vem lucrando significativamente desde 2015, infectando TVs Android e caixas de set-top eCos no mundo todo.
A empresa sediada em Pequim, Qianxin Xlabs, relata que o grupo de ameaças controla uma grande botnet de aproximadamente 170.000 bots ativos diariamente.
No entanto, os pesquisadores identificaram 1,3 milhão de endereços IP únicos associados à botnet desde agosto, a maioria deles no Brasil.
Bigpanzi infecta os dispositivos via atualizações de firmware ou aplicativos corrompidos que os usuários são enganados a instalar, conforme destacado em um relatório de setembro de 2023 do Dr. Web.
Os cibercriminosos monetizam essas infecções transformando os dispositivos em nós para plataformas de streaming de mídia ilegal, redes de tráfego proxy, enxames de negação de serviço distribuído (DDoS) e provisão de conteúdo OTT.
O relatório Xlabs se concentra em 'pandoraspear' e 'pcdn', duas ferramentas de malware usadas pela Bigpanzi em suas operações.
Pandoraspear atua como um trojan tipo backdoor, sequestrando configurações de DNS, estabelecendo comunicação de comando e controle (C2), e executando comandos recebidos do servidor C2.
O malware suporta uma variedade de comandos que permitem manipular configurações de DNS, iniciar ataques DDoS, se atualizar, criar shells reversos, gerenciar sua comunicação com a C2, e executar comandos do sistema operacional a pedido.
Pandoraspear usa técnicas sofisticadas como shell UPX modificado, ligação dinâmica, compilação OLLVM e mecanismos anti-debug para evitar a detecção.
Pcdn é usado para construir uma Rede de Distribuição de Conteúdo (CDN) peer-to-peer (P2P) em dispositivos infectados e possui capacidades de DDoS para armar os dispositivos.
Xlabs obteve uma visão da escala da botnet após sequestrar dois domínios C2 usados pelos atacantes e conduzir uma observação de sete dias.
Os analistas relatam que a botnet Bigpanzi possui 170.000 bots diários em horários de pico e observou mais de 1,3 milhão de IPs distintos desde agosto.
No entanto, devido ao fato de as caixas de TV comprometidas não estarem ativas simultaneamente em todos os momentos e às limitações de visibilidade dos analistas de cibersegurança, é considerado inevitável que o tamanho da botnet seja maior.
"Ao longo dos últimos oito anos, Bigpanzi vem operando de maneira encoberta, acumulando riquezas silenciosamente das sombras", diz o relatório Xlabs.
"Com a progressão de suas operações, houve uma proliferação significativa de amostras, nomes de domínios e endereços IP".
"Diante de uma rede tão grande e complexa, nossas descobertas representam apenas a ponta do iceberg do que abrange Bigpanzi".
Os artefatos na amostra pcdn analisada levaram os pesquisadores chineses a um canal do YouTube suspeito controlado por uma empresa.
No entanto, o relatório Xlabs ainda não divulgou detalhes de atribuição, presumivelmente reservando essas informações para as autoridades legais aplicáveis.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...