Uma variante do botnet Mirai está visando quase duas dúzias de vulnerabilidades visando assumir o controle de dispositivos D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear e MediaTek para usá-los em ataques de negação de serviço distribuído (DDoS).
O malware foi identificado por pesquisadores da Unidade 42 da Palo Alto Networks em duas campanhas em curso que começaram em 14 de março e aumentaram em abril e junho.
Em um relatório hoje, os pesquisadores alertam que os desenvolvedores do botnet continuam a adicionar código para vulnerabilidades exploráveis.
No total, o malware visa não menos que 22 problemas de segurança conhecidos em vários produtos conectados, que incluem roteadores, DVRs, NVRs, dongles de comunicação WiFi, sistemas de monitoramento térmico, sistemas de controle de acesso e monitores de geração de energia solar.
Uma dessas falhas,
CVE-2023-1389
, afeta o roteador WiFi TP-Link Archer A21 (AX1800) e foi relatada pela ZDI como sendo explorada pelo malware Mirai desde o final de abril.
No entanto, não está claro se os dois se referem à mesma atividade.
O ataque começa explorando uma das falhas mencionadas, lançando as bases para executar um script shell de uma fonte externa.
Este script fará o download do cliente botnet que corresponde à arquitetura do dispositivo comprometido, cobrindo armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k e sparc.
Depois que o cliente bot é executado, o downloader do script shell exclui o arquivo do cliente para eliminar os rastros de infecção e reduzir a probabilidade de detecção.
Em comparação com as variantes padrão do Mirai em circulação, esta acessa diretamente as strings criptografadas na seção .rodata por meio de um índice em vez de configurar uma tabela de strings para obter a configuração do cliente botnet.
Essa abordagem contorna a inicialização da tabela de strings criptografadas, dando ao malware velocidade e furtividade e tornando menos provável que ele seja detectado por ferramentas de segurança.
A Unidade 42 também observa que esta variante do Mirai não tem a capacidade de forçar as credenciais de login telnet/SSH, portanto, sua distribuição depende inteiramente dos operadores explorarem manualmente as vulnerabilidades.
É possível reduzir o risco de infecção aplicando a atualização de firmware mais recente disponível do fabricante do dispositivo, alterando as credenciais de acesso padrão para algo forte e único e removendo a acessibilidade do painel de administração remota, se não for necessário.
Sinais de infecção por malware de botnet em um dispositivo IoT podem incluir superaquecimento excessivo, mudança de configurações/configuração, desconexões frequentes e uma queda geral no desempenho.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...