Pesquisadores de cibersegurança estão alertando sobre uma campanha de malware que está explorando falhas de segurança em gravadores digitais de vídeo (DVRs) da TBK e roteadores da Four-Faith para incorporar os dispositivos em uma nova botnet chamada RondoDox.
As vulnerabilidades em questão incluem o
CVE-2024-3721
, uma vulnerabilidade de injeção de comando de gravidade média que afeta os DVRs TBK DVR-4104 e DVR-4216, e o
CVE-2024-12856
, um bug de injeção de comando do sistema operacional (OS) que afeta os modelos de roteador Four-Faith F3x24 e F3x36.
Muitos desses dispositivos estão instalados em ambientes críticos como lojas de varejo, armazéns e pequenos escritórios, onde frequentemente permanecem sem monitoramento por anos.
Isso os torna alvos ideais – fáceis de explorar, difíceis de detectar e geralmente expostos diretamente à internet através de firmware desatualizado ou portas mal configuradas.
Vale ressaltar que todos os três defeitos de segurança foram repetidamente armados por atores de ameaças para implantar diferentes variantes da botnet Mirai nos últimos meses.
“Ambas [as falhas de segurança] foram divulgadas publicamente e estão sendo ativamente exploradas, representando sérios riscos para a segurança dos dispositivos e a integridade geral da rede”, disse o pesquisador da Fortinet FortiGuard Labs, Vincent Li.
A empresa de cibersegurança disse que identificou pela primeira vez um binário ELF para o RondoDox em setembro de 2024, com o malware capaz de imitar tráfego de plataformas de jogos ou servidores VPN, passando despercebido.
O que torna o RondoDox especialmente perigoso não é apenas a tomada de controle do dispositivo – é como os atacantes reutilizam esse acesso.
Em vez de usar dispositivos infectados como nós típicos de botnet, eles os armam como proxies furtivos para esconder tráfego de comando e controle, realizar golpes em camadas ou amplificar campanhas de DDoS para aluguel que misturam fraude financeira com interrupção de infraestrutura.
A análise dos artefatos do RondoDox indica que ele foi inicialmente distribuído para atingir sistemas operacionais baseados em Linux executados em arquiteturas ARM e MIPS, antes de ser distribuído por meio de um shell script downloader que pode visar outras arquiteturas Linux, como Intel 80386, MC68000, MIPS R3000, PowerPC, SuperH, ARCompact, x86-64 e AArch64.
O shell script, uma vez iniciado, instrui o host vítima a ignorar os sinais SIGINT, SIGQUIT e SIGTERM, que são usados para terminar processos em sistemas operacionais do tipo Unix, e verifica caminhos graváveis em diversos locais como /dev, /dev/shm, o diretório home do usuário vítima, /mnt, /run/user/0, /var/log, /var/run, /var/tmp e /data/local/tmp.
No passo final, o malware RondoDox é baixado e executado no host, e limpa o histórico de execução de comandos para apagar vestígios da atividade maliciosa.
O payload da botnet, por sua vez, prossegue para configurar a persistência na máquina para garantir que seja automaticamente lançada após um reboot do sistema.
Ele também é projetado para verificar a lista de processos em execução e terminar qualquer processo relacionado a utilitários de rede (por exemplo, wget e curl), ferramentas de análise de sistema (por exemplo, Wireshark e gdb) ou outro malware (por exemplo, mineradores de criptomoedas ou variantes do Redtail) a fim de manter a discrição operacional.
Essa abordagem reflete uma tendência crescente no design de botnets – usando droppers multiarquitetura, resolução C2 baseada em DoH e payloads criptografados por XOR para contornar as regras IDS legadas.
Como parte de uma categoria mais ampla de malware Linux evasivo, RondoDox está ao lado de ameaças como RustoBot e Mozi, formando uma nova onda de botnets adaptáveis construídas para explorar a má higiene do IoT e o fraco fortalecimento de roteadores.
Além disso, RondoDox verifica vários diretórios executáveis comuns do Linux, como /usr/sbin, /usr/bin, /usr/local/bin e /usr/local/sbin, e renomeia executáveis legítimos com caracteres aleatórios com a intenção de inibir os esforços de recuperação.
Os nomes de arquivos modificados estão listados abaixo:
iptables - jsuJpf
ufw - nqqbsc
passwd - ahwdze
chpasswd - ereghb
shutdown - hhrqwk
poweroff - dcwkkb
halt - cjtzgw
reboot - gaajct
Uma vez que o processo de configuração está completo, o malware contata um servidor externo (83.150.218[.]93) para receber comandos para realizar ataques de negação de serviço distribuído (DDoS) contra alvos específicos usando protocolos HTTP, UDP e TCP.
"Para evitar detecção, ele disfarça tráfego malicioso emulando jogos e plataformas populares, como Valve, Minecraft, Dark and Darker, Roblox, DayZ, Fortnite, GTA, além de ferramentas como Discord, OpenVPN, WireGuard e RakNet", disse a Fortinet.
"Além dos protocolos de jogos e chat, RondoDox também pode imitar tráfego personalizado de serviços de tunelamento e comunicação em tempo real, incluindo WireGuard, variantes do OpenVPN (por exemplo, openvpnauth, openvpncrypt, openvpntcp), STUN, DTLS e RTC."
Ao se passar por tráfego associado a ferramentas legítimas, a ideia é se misturar à atividade normal e tornar difícil para os defensores detectar e bloquear.
"RondoDox é uma ameaça de malware sofisticada e emergente que emprega técnicas avançadas de evasão, incluindo medidas anti-análise, dados de configuração codificados por XOR, bibliotecas construídas sob medida e um mecanismo de persistência robusto", disse Li.
Essas capacidades permitem que ele permaneça não detectado e mantenha acesso de longo prazo em sistemas comprometidos.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...