Pesquisadores de cibersegurança revelaram uma nova botnet derivada da família Mirai, que se identifica como xlabs_v1 e mira dispositivos expostos à internet com Android Debug Bridge (ADB) para recrutá-los em uma rede capaz de executar ataques de negação de serviço distribuída, ou DDoS.
A Hunt.io, que detalhou o malware, afirmou que a descoberta ocorreu após a identificação de um diretório exposto em um servidor hospedado na Holanda, no endereço IP 176.65.139[.]44, sem exigir autenticação.
Segundo a empresa, o malware oferece 21 variantes de flood, distribuídas entre os protocolos TCP, UDP e raw, incluindo formatos em UDP inspirados em RakNet e OpenVPN, com capacidade de contornar proteções DDoS de nível básico.
A Hunt.io acrescentou que o serviço é vendido como DDoS-for-hire e foi projetado para atingir servidores de jogos e hosts de Minecraft.
O que torna o xlabs_v1 especialmente relevante é o fato de ele buscar dispositivos Android que executem um serviço ADB exposto na porta TCP 5555.
Na prática, isso amplia o risco para equipamentos que trazem essa função ativada por padrão, como caixas Android TV, set-top boxes e smart TVs.
Além de um APK para Android chamado boot.apk, o malware também suporta compilações para várias arquiteturas, cobrindo ARM, MIPS, x86-64 e ARC.
Isso indica que ele também foi pensado para atingir roteadores residenciais e hardware de Internet das Coisas, ou IoT.
O resultado é uma botnet criada para receber comandos de ataque do painel do operador, em xlabslover[.]lol, e gerar, sob demanda, uma enxurrada de tráfego inútil, com foco específico em servidores de jogos.
“O bot é compilado estaticamente para ARMv7, roda em firmwares Android simplificados e é entregue por meio de comandos colados em shells ADB no diretório /data/local/tmp”, explicou a Hunt.io.
“A lista de payloads em nove variantes foi ajustada para caixas Android TV, set-top boxes, smart TVs e hardware IoT de arquitetura ARM que sai de fábrica com ADB ativado.”
Há indícios de que o serviço DDoS-for-hire adote preços por faixa de largura de banda.
Essa avaliação se baseia na presença de uma rotina de perfil de banda que coleta a largura de banda e a geolocalização da vítima.
Esse componente abre 8.192 sockets TCP em paralelo com o servidor Speedtest geograficamente mais próximo, satura a conexão por 10 segundos e envia a taxa de transferência medida de volta ao painel.
O objetivo, segundo a Hunt.io, é enquadrar cada dispositivo comprometido em uma faixa de preço para os clientes pagantes.
Um ponto importante é que a botnet desaparece depois de enviar as informações de largura de banda em megabits por segundo (Mbps), o que significa que o operador precisa reinfectar o dispositivo uma segunda vez pelo mesmo canal de exploração via ADB, já que não há mecanismo de persistência.
“O bot não se instala em locais de persistência no disco, não altera scripts de inicialização, não cria unidades systemd e não registra tarefas cron”, disse a Hunt.io.
“Esse desenho sugere que o operador trata a verificação de largura de banda como uma atualização ocasional da frota, e não como uma checagem prévia antes de cada ataque.
O ciclo de saída e reinfecção parece ser a intenção do projeto.”
O xlabs_v1 também inclui um subsistema “killer”, usado para encerrar concorrentes e tomar para si toda a banda de upload da vítima, direcionando-a aos ataques DDoS.
Ainda não se sabe quem está por trás do malware, mas o threat actor usa o nome “Tadashi”, conforme indica uma string criptografada com ChaCha20 embutida em cada versão do bot.
Uma análise adicional da infraestrutura localizada no mesmo ambiente revelou um toolkit de mineração de Monero VLTRig no host 176.65.139[.]42, embora ainda não seja possível afirmar se as duas atividades pertencem ao mesmo threat actor.
“Em termos de crime comercial, o xlabs_v1 está na faixa intermediária.
Ele é mais sofisticado do que um fork de Mirai típico de script-kiddie, mas menos sofisticado do que a camada mais alta das operações comerciais de DDoS-for-hire”, afirmou a Hunt.io.
“Esse operador compete por preço e variedade de ataques, não por sofisticação técnica.
Dispositivos IoT de consumo, roteadores residenciais e pequenos operadores de servidores de jogos são o alvo.”
A divulgação ocorre no momento em que a Darktrace revelou que uma instância do Jenkins propositalmente configurada de forma incorreta, em sua rede honeypot, foi atacada por threat actors desconhecidos para implantar uma botnet DDoS baixada de um servidor remoto, 103.177.110[.]202, ao mesmo tempo em que adotava medidas para evitar a detecção.
“A presença de técnicas de DoS específicas para jogos reforça que o setor de games continua sendo amplamente visado por atacantes”, disse a empresa.
“Essa botnet provavelmente já foi usada contra servidores de jogos, servindo como lembrete para que administradores de servidores garantam que as devidas medidas de mitigação estejam em vigor.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...