Pesquisadores de cibersegurança descobriram uma nova família de malware botnet denominada Gorilla (também conhecida como GorillaBot), que é uma variante do código-fonte do botnet Mirai vazado.
A firma de cibersegurança NSFOCUS, que identificou a atividade no mês passado, disse que o botnet "emitiu mais de 300.000 comandos de ataque, com uma impressionante densidade de ataque" entre 4 e 27 de setembro de 2024.
Não menos que 20.000 comandos projetados para realizar ataques de Distributed Denial-of-Service (DDoS) foram emitidos pelo botnet todos os dias, em média.
Diz-se que o botnet teve como alvo mais de 100 países, atacando universidades, websites governamentais, telecomunicações, bancos, setores de jogos e de apostas.
China, Estados Unidos, Canadá e Alemanha surgiram como os países mais atacados.
A companhia, com sede em Pequim, disse que o Gorilla usa principalmente UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood para conduzir os ataques DDoS, acrescentando que a natureza sem conexão do protocolo UDP permite a falsificação arbitrária do IP de origem para gerar uma grande quantidade de tráfego.
Além de suportar múltiplas arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, o botnet vem com capacidades de conectar-se a um dos cinco servidores command-and-control (C2) predefinidos para aguardar comandos DDoS.
Em uma reviravolta interessante, o malware também incorpora funções para explorar uma falha de segurança no Apache Hadoop YARN RPC para alcançar execução remota de código.
Vale ressaltar que essa deficiência vem sendo explorada ao vivo desde 2021, de acordo com a Alibaba Cloud e a Trend Micro.
A persistência no host é alcançada criando um arquivo de serviço chamado custom.service no diretório "/etc/systemd/system/" e configurando-o para rodar automaticamente toda vez que o sistema for iniciado.
O serviço, por sua vez, é responsável por baixar e executar um script shell ("lol.sh") de um servidor remoto ("pen.gorillafirewall[.]su").
Comandos similares também são adicionados aos arquivos "/etc/inittab", "/etc/profile" e "/boot/bootcmd" para baixar e executar o script shell no início do sistema ou no login do usuário.
"Ele introduziu vários métodos de ataque DDoS e usou algoritmos de criptografia comumente empregados pelo grupo Keksec para ocultar informações chave, enquanto empregava múltiplas técnicas para manter o controle de longo prazo sobre dispositivos IoT e hosts na nuvem, demonstrando um alto nível de consciência de contra-detecção como uma família botnet emergente", disse a NSFOCUS.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...