Foi descoberta uma nova ameaça multiplataforma chamada NKAbuse que usa um protocolo de conectividade de rede descentralizada ponto a ponto conhecido como NKN (abreviação de New Kind of Network) como canal de comunicação.
"O malware utiliza a tecnologia NKN para troca de dados entre pares, funcionando como um implante potente e equipado com capacidades de inundação e backdoor", disse a empresa russa de segurança cibernética Kaspersky em um relatório na quinta-feira.
O NKN, que possui mais de 62.000 nós, é descrito como uma "rede de sobreposição de software construída em cima da Internet de hoje que permite aos usuários compartilhar largura de banda não utilizada e ganhar recompensas de token".
Ele incorpora uma camada de blockchain em cima da pilha TCP/IP existente.
Os atores de ameaças são conhecidos por tirar proveito de protocolos de comunicação emergentes para fins de comando e controle (C2) e evitar detecção.
No entanto, o NKAbuse aproveita a tecnologia blockchain para realizar ataques de negação de serviço distribuídos (DDoS) e funcionar como um implante dentro de sistemas comprometidos.
Especificamente, ele usa o protocolo para se comunicar com o mestre do bot e receber/enviar comandos.
O malware é implementado na linguagem de programação Go, e evidências apontam para ele ser usado principalmente para mirar em sistemas Linux, incluindo dispositivos IoT.
Atualmente, não se sabe quão generalizados são os ataques, mas um exemplo identificado pela Kaspersky envolve a exploração de uma falha de segurança crítica de seis anos em Apache Struts (
CVE-2017-5638
, pontuação CVSS: 10.0) para violar uma empresa financeira não identificada.
A exploração bem-sucedida é seguida pela entrega de um script shell inicial que é responsável por baixar o implante de um servidor remoto, mas não antes de verificar o sistema operacional do host alvo.
Outro aspecto notável é a falta de um mecanismo de autoreplicação, o que significa que o malware precisa ser entregue a um alvo por outro caminho de acesso inicial, como por meio da exploração de falhas de segurança.
"NKAbuse faz uso de trabalhos cron para sobreviver aos reboots", disse Kaspersky.
"Para fazer isso, precisa ser root.
Ele verifica se o ID do usuário atual é 0 e, se sim, prossegue para analisar o crontab atual, adicionando-se a cada reboot."
O NKAbuse também incorpora uma infinidade de recursos de backdoor que permitem enviar periodicamente uma mensagem de batimento cardíaco ao mestre do bot, que contém informações sobre o sistema, capturar screenshots da tela atual, realizar operações de arquivo e executar comandos do sistema.
"Este implante em particular parece ter sido meticulosamente elaborado para integração em um botnet, mas pode se adaptar a funcionar como um backdoor em um host específico", disse Kaspersky.
"Além disso, seu uso de tecnologia blockchain garante tanto a confiabilidade quanto o anonimato, o que indica o potencial para este botnet se expandir constantemente ao longo do tempo, aparentemente desprovido de um controlador central identificável."
"Ficamos surpresos ao ver o NKN sendo usado dessa maneira", disse Zheng "Bruce" Li, cofundador do NKN.
"Nós construímos o NKN para fornecer uma comunicação verdadeiramente ponto a ponto que é segura, privada, descentralizada e altamente escalável.
Estamos tentando aprender mais sobre o relatório para ver se juntos podemos tornar a internet segura e neutra.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...