Malware KmsdBot Recebe uma Atualização: Agora Mira Dispositivos IoT com Capacidades Aprimoradas
28 de Agosto de 2023

Uma versão atualizada de um malware botnet chamado KmsdBot agora está visando dispositivos da Internet das Coisas (IoT), expandindo simultaneamente suas capacidades e a superfície de ataque.

"O binário agora inclui suporte para varredura de Telnet e suporte para mais arquiteturas de CPU", disse o pesquisador de segurança do Akamai, Larry W. Cashdollar, em uma análise publicada este mês.

A última iteração, observada desde 16 de julho de 2023, surge meses depois de ser revelado que o botnet está sendo oferecido como um serviço de DDoS para aluguel para outros atores de ameaças.

O fato de ele estar sendo ativamente mantido indica sua eficácia em ataques do mundo real.
O KmsdBot foi documentado pela primeira vez pela empresa de infraestrutura e segurança da web em novembro de 2022.

Ele é projetado principalmente para atacar servidores de jogos privados e provedores de hospedagem em nuvem, embora desde então tenha voltado seus olhos para alguns sites governamentais romenos e sites educacionais espanhóis.

O malware é projetado para verificar endereços IP aleatórios para portas SSH abertas e forçar a entrada no sistema com uma lista de senhas baixada de um servidor controlado pelo ator.

As novas atualizações incorporam a varredura do Telnet e também permitem que ele cubra mais arquiteturas de CPU comumente encontradas em dispositivos IoT.

"Assim como o scanner SSH, o scanner Telnet chama uma função que gera um endereço IP aleatório", explicou Cashdollar.

"Em seguida, ele tenta se conectar à porta 23 naquele endereço IP.

No entanto, o scanner Telnet não para em um simples decisão de a porta 23 está ouvindo/não ouvindo, ele verifica se o buffer de recepção contém dados."

O ataque contra o Telnet é realizado pelo download de um arquivo de texto (telnet.txt) que contém uma lista de senhas fracas comumente usadas e suas combinações para uma ampla gama de aplicações, tirando proveito principalmente do fato de que muitos dispositivos IoT têm suas credenciais padrão inalteradas.

"As atividades em andamento da campanha de malware KmsdBot indicam que os dispositivos IoT permanecem prevalentes e vulneráveis na internet, tornando-os alvos atraentes para a construção de uma rede de sistemas infectados", disse Cashdollar.

"Do ponto de vista técnico, a adição de capacidades de varredura de telnet sugere uma expansão na superfície de ataque do botnet, permitindo que ele atinja uma gama mais ampla de dispositivos.

Além disso, conforme o malware evolui e adiciona suporte para mais arquiteturas de CPU, ele representa uma ameaça contínua à segurança dos dispositivos conectados à Internet."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...