Uma versão atualizada de um malware de botnet chamado Prometei infectou mais de 10.000 sistemas em todo o mundo desde novembro de 2022.
As infecções são geograficamente indiscriminadas e oportunísticas, com a maioria das vítimas relatadas no Brasil, Indonésia e Turquia.
O Prometei, observado pela primeira vez em 2016, é uma botnet modular que apresenta um grande repertório de componentes e vários métodos de proliferação, alguns dos quais também incluem a exploração de falhas do ProxyLogon Microsoft Exchange Server.
Ele também é notável por evitar ataques à Rússia, sugerindo que os atores por trás da operação provavelmente estão baseados no país.
As motivações da botnet multiplataforma são financeiras, principalmente alavancando sua rede de hosts infectados para minerar criptomoedas e colher credenciais.
A última variante do Prometei (chamada v3) melhora suas características existentes para desafiar a análise forense e aprofundar ainda mais o acesso em máquinas vítimas, disse a Cisco Talos em um relatório compartilhado com o The Hacker News.
A sequência de ataque procede assim: ao ganhar uma posição bem-sucedida, um comando PowerShell é executado para baixar o malware de botnet de um servidor remoto.
O módulo principal do Prometei é então usado para obter o payload de mineração de criptomoedas e outros componentes auxiliares no sistema.
Alguns desses módulos de suporte funcionam como programas de propagação projetados para propagar o malware por meio do Protocolo de Área de Trabalho Remota (RDP), Secure Shell (SSH) e Bloco de Mensagens do Servidor (SMB).
O Prometei v3 também é notável por usar um algoritmo de geração de domínio (DGA) para construir sua infraestrutura de comando e controle (C2).
Ele ainda inclui um mecanismo de autoatualização e um conjunto expandido de comandos para coletar dados confidenciais e assumir o controle do host.
Por último, mas não menos importante, o malware implanta um servidor web Apache que vem com um shell web baseado em PHP, capaz de executar comandos codificados em Base64 e realizar uploads de arquivos.
"Essa recente adição de novas capacidades está alinhada com as afirmações anteriores de pesquisadores de ameaças de que os operadores do Prometei estão continuamente atualizando a botnet e adicionando funcionalidades", disse a Talos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...