Nova versão de botnet Prometei infecta mais de 10.000 sistemas em todo o mundo
13 de Março de 2023

Uma versão atualizada de um malware de botnet chamado Prometei infectou mais de 10.000 sistemas em todo o mundo desde novembro de 2022.

As infecções são geograficamente indiscriminadas e oportunísticas, com a maioria das vítimas relatadas no Brasil, Indonésia e Turquia.

O Prometei, observado pela primeira vez em 2016, é uma botnet modular que apresenta um grande repertório de componentes e vários métodos de proliferação, alguns dos quais também incluem a exploração de falhas do ProxyLogon Microsoft Exchange Server.

Ele também é notável por evitar ataques à Rússia, sugerindo que os atores por trás da operação provavelmente estão baseados no país.

As motivações da botnet multiplataforma são financeiras, principalmente alavancando sua rede de hosts infectados para minerar criptomoedas e colher credenciais.

A última variante do Prometei (chamada v3) melhora suas características existentes para desafiar a análise forense e aprofundar ainda mais o acesso em máquinas vítimas, disse a Cisco Talos em um relatório compartilhado com o The Hacker News.

A sequência de ataque procede assim: ao ganhar uma posição bem-sucedida, um comando PowerShell é executado para baixar o malware de botnet de um servidor remoto.

O módulo principal do Prometei é então usado para obter o payload de mineração de criptomoedas e outros componentes auxiliares no sistema.

Alguns desses módulos de suporte funcionam como programas de propagação projetados para propagar o malware por meio do Protocolo de Área de Trabalho Remota (RDP), Secure Shell (SSH) e Bloco de Mensagens do Servidor (SMB).

O Prometei v3 também é notável por usar um algoritmo de geração de domínio (DGA) para construir sua infraestrutura de comando e controle (C2).

Ele ainda inclui um mecanismo de autoatualização e um conjunto expandido de comandos para coletar dados confidenciais e assumir o controle do host.

Por último, mas não menos importante, o malware implanta um servidor web Apache que vem com um shell web baseado em PHP, capaz de executar comandos codificados em Base64 e realizar uploads de arquivos.

"Essa recente adição de novas capacidades está alinhada com as afirmações anteriores de pesquisadores de ameaças de que os operadores do Prometei estão continuamente atualizando a botnet e adicionando funcionalidades", disse a Talos.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...