Uma nova botnet de malware chamada 'AndoryuBot' está visando uma falha de gravidade crítica no painel de administração sem fio Ruckus para infectar pontos de acesso Wi-Fi não corrigidos para uso em ataques DDoS.
Rastreada como
CVE-2023-25717
, a falha afeta todos os painéis de administração sem fio Ruckus versão 10.4 e mais antigas, permitindo que atacantes remotos executem código enviando solicitações HTTP GET não autenticadas para dispositivos vulneráveis.
A falha foi descoberta e corrigida em 8 de fevereiro de 2023.
Ainda assim, muitos não aplicaram as atualizações de segurança disponíveis, enquanto os modelos com fim de vida afetados pelo problema de segurança não receberão correções.
AndoryuBot apareceu pela primeira vez em fevereiro de 2023, mas a Fortinet diz que sua versão mais recente, que visa dispositivos Ruckus, surgiu em meados de abril.
O malware da botnet visa recrutar dispositivos vulneráveis para seu enxame de DDoS (negação de serviço distribuída) que opera para obter lucro.
O malware infecta dispositivos vulneráveis por meio de solicitações HTTP GET maliciosas e, em seguida, baixa um script adicional de uma URL codificada para propagação adicional.
A variante analisada pela Fortinet pode visar numerosas arquiteturas de sistema, incluindo x86, arm, spc, m68k, mips, sh4 e mpsl.
Após infectar um dispositivo, o malware estabelece comunicação com o servidor C2 usando o protocolo de proxy SOCKS para furtividade e para contornar firewalls, e então aguarda comandos.
O malware AndoryuBot suporta 12 modos de ataque DDoS: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp-bypass e icmp-echo.
O malware receberá comandos do servidor de comando e controle que informam o tipo de DDoS, o endereço IP de destino e o número da porta para atacar.
Os operadores do malware alugam sua capacidade de fogo para outros cibercriminosos que desejam lançar ataques DDoS, aceitando pagamentos em criptomoeda (XMR, BTC, ETH, USDT, CashApp) por seus serviços.
A Fortinet diz que os preços de aluguel semanais variam de US $ 20 para um ataque único de 90 segundos usando todos os bots disponíveis lançados 50 vezes por dia a US $ 115 para um ataque de dupla conexão de 200 segundos usando todos os bots disponíveis para lançar 100 ataques diários.
O projeto Andoryu é atualmente comercializado por meio de vídeos do YouTube, onde seus operadores demonstram as capacidades da botnet.
Para evitar infecções por malware de botnet, aplique as atualizações de firmware disponíveis, use senhas fortes do administrador do dispositivo e desative o acesso remoto ao painel de administração, se não necessário.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...