Família de botnets ameaça dispositivos IoT
XorBot, nova botnet descoberta em 2023, continua se atualizando com recursos avançados e alta conscientização antirrastreamento
De acordo com o monitoramento do NSFOCUS Security Labs, desde o início deste ano, o XorBot, uma nova família de botnets com alto nível de conscientização antirrastreamento, segue em atualização contínua, inclusive com novos recursos. Ela foi descoberta pela NSFOCUS em novembro de 2023 e, divulgada um mês depois.
Até o momento, o XorBot se tornou uma ameaça à segurança no campo da Internet das Coisas (IoT), já que os invasores visam principalmente dispositivos como câmeras de vigilância Intelbras e roteadores da TP-Link e D-Link para propagação. Uma vez que um ataque é bem-sucedido, ele executa um programa Trojan malicioso no dispositivo comprometido, com a versão mais recente embutida com até 12 métodos de exploração diferentes.
À medida que o número de dispositivos controlados por essa botnet aumenta, os criminosos por trás dela começaram a se envolver ativamente em operações lucrativas, com o anúncio público de serviços de aluguel de ataques DDoS.
Também conhecida na comunidade de segurança como “Masjesu”, a versão mais recente do XorBot apresenta diferenças significativas, como na fase de lançamento, onde os caminhos de implementação específicos diferem. O mesmo ocorre no processo de verificação e nas características online. Mais de dez tipos de técnicas de exploração de vulnerabilidades foram recentemente integrados.
Raphael Tedesco, gerente de negócios da NSFOCUS, confirma que “a família de software malicioso tem estado extraordinariamente ativa”, e seus scripts de propagação demonstram uma ampla compatibilidade com várias arquiteturas de CPU. Além disso, o Trojan se disfarça como um componente legítimo do sistema, que grava a si mesmo ou comandos de execução relacionados na configuração para garantir a execução automática mesmo após uma reinicialização do sistema.
Após estabelecer uma conexão com a extremidade de controle, o trojan não envia imediatamente um pacote online, mas espera para receber dados da extremidade de controle. Posteriormente, o cliente retorna à sequência aleatória recebida, as informações de arquitetura do host comprometido e a identificação da versão para a extremidade do servidor, o que aumenta a dificuldade de rastreamento com base na detecção de assinatura.
O Trojan suporta vários tipos de métodos DDoS. Após receber instruções do servidor, ele primeiro executa a descriptografia e, em seguida, seleciona e atribui o tipo de ataque correspondente com base na diferença dos dados retornados pelo servidor.
Segundo Tedesco, os criminosos seguem inovando suas táticas antidetecção e antirastreamento, com o aprimoramento da furtividade do nível de comunicação, ao projetar lógica de interação de comunicação exclusiva. “Ao mesmo tempo, ao inserir código redundante e ofuscar assinaturas de amostra, eles melhoraram as capacidades defensivas no nível de arquivo, tornando seu comportamento de ataque mais difícil de monitorar e identificar”, finaliza.
