Pesquisadores de cibersegurança revelaram os detalhes de uma botnet discreta, projetada para ataques de distributed denial-of-service (DDoS).
Batizada de Masjesu, a botnet vem sendo divulgada no Telegram como um serviço de DDoS-for-hire desde que surgiu, em 2023.
Ela é capaz de atingir uma ampla variedade de dispositivos IoT, como routers e gateways, em diferentes arquiteturas.
“Criada para persistência e baixa visibilidade, a Masjesu privilegia uma execução cuidadosa e discreta em vez de infecções em larga escala, evitando deliberadamente faixas de IP bloqueadas, como as pertencentes ao Department of Defense (DoD), para garantir sobrevivência de longo prazo”, afirmou o pesquisador de segurança da Trellix, Mohideen Abdul Khader F, em relatório divulgado na terça-feira.
Vale destacar que a oferta comercial também atende pelo nome XorBot, em referência ao uso de encryption baseada em XOR para ocultar strings, configurações e dados de payload.
O grupo foi documentado pela primeira vez pela empresa chinesa de segurança NSFOCUS em dezembro de 2023, que o associou a um operador chamado “synmaestro”.
Uma versão posterior da botnet, observada um ano depois, incorporou 12 exploits diferentes de command injection e code execution para atingir routers, câmeras, DVRs e NVRs de fabricantes como D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron, com o objetivo de obter acesso inicial.
Também foram adicionados novos módulos para conduzir ataques DDoS do tipo flood.
“Como uma família de botnet emergente, a XorBot está mostrando forte crescimento, infiltrando-se e controlando continuamente novos dispositivos IoT”, informou a NSFOCUS em novembro de 2024.
“Em especial, esses operadores estão cada vez mais inclinados a usar plataformas de mídia social, como o Telegram, como principal canal de recrutamento e promoção, atraindo ‘clientes’-alvo por meio de atividades promocionais iniciais, o que estabelece uma base sólida para a expansão e o desenvolvimento posterior da botnet.”
As descobertas mais recentes da Trellix mostram que a Masjesu vem sendo comercializada pela capacidade de executar ataques DDoS volumétricos, destacando sua infraestrutura diversificada e sua adequação para atacar content delivery networks (CDNs), servidores de jogos e empresas.
Os ataques conduzidos pela botnet se originam principalmente de Vietnã, Ucrânia, Irã, Brasil, Quênia e Índia, sendo o Vietnã responsável por quase 50% do tráfego observado.
Depois de instalada em um dispositivo comprometido, o malware tenta criar e vincular um socket a uma porta TCP fixa, 55.988, para permitir que o atacante se conecte diretamente.
Se essa etapa falhar, a cadeia de ataque é encerrada imediatamente.
Caso contrário, o malware passa a estabelecer persistência, ignora sinais relacionados ao encerramento do processo, interrompe processos comumente usados, como wget e curl, possivelmente para atrapalhar botnets concorrentes, e então se conecta a um servidor externo para receber comandos de ataque DDoS e executá-los contra alvos de interesse.
A Masjesu também conta com capacidade de autopropagação, o que permite sondar endereços IP aleatórios em busca de portas abertas e incorporar à infraestrutura os dispositivos comprometidos com sucesso.
Uma adição importante à lista de alvos de exploração são os routers Realtek, atacados por meio da varredura da porta 52.869, associada ao daemon miniigd do Realtek SDK.
Outras botnets DDoS, como JenX e Satori, já adotaram a mesma abordagem no passado.
“A botnet continua a se expandir ao infectar uma ampla variedade de dispositivos IoT de múltiplas arquiteturas e fabricantes”, afirmou a Trellix.
“Notavelmente, a Masjesu parece evitar o ataque a organizações críticas e sensíveis, o que poderia atrair atenção significativa de autoridades e órgãos de aplicação da lei, uma estratégia que provavelmente melhora sua sobrevivência de longo prazo.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...