Bigpanzi Botnet
Uma organização cibercriminosa anteriormente não identificada, chamada 'Bigpanzi', tem gerado lucros substanciais ao comprometer decodificadores Android TV e eCos em todo o mundo desde pelo menos 2015. Segundo os pesquisadores, esse grupo de ameaças gerencia um extenso botnet que compreende cerca de 170.000 bots ativos diariamente. Notavelmente, desde agosto, os pesquisadores identificaram 1,3 milhão de endereços de IP exclusivos vinculados ao botnet, a maioria localizada no Brasil. Bigpanzi emprega métodos como infectar dispositivos por meio de atualizações de firmware ou manipular os usuários para que instalem aplicativos comprometidos sem saber.
Essas infecções servem como fonte de receita para os criminosos cibernéticos que transformam dispositivos comprometidos em nós para diversas atividades ilícitas, incluindo plataformas ilegais de streaming de mídia, redes de proxy de tráfego, ataques de Negação de Serviço Distribuída (DDoS) e fornecimento de conteúdo over-the-top (OTT). .
Índice
A Operação do Bigpanzi Botnet Implanta Ameaças de Malware Adicionais
A operação de crime cibernético conduzida pelo Bigpanzi emprega duas ferramentas de malware personalizadas conhecidas como ‘pandospear’ e ‘pcdn’.
O Pandoraspear funciona como um Trojan backdoor, assumindo o controle das configurações de DNS, estabelecendo comunicação com um servidor de Comando e Controle (C2) e executando comandos recebidos do servidor C2. O malware oferece suporte a uma variedade de comandos, permitindo manipular configurações de DNS, iniciar ataques DDoS, atualizar-se automaticamente, criar shells reversos, gerenciar a comunicação com o C2 e executar comandos arbitrários do sistema operacional. Para evitar a detecção, o Pandoraspear emprega técnicas sofisticadas, como shell UPX modificado, vinculação dinâmica, compilação OLLVM e mecanismos anti-depuração.
O PCdn, por outro lado, é utilizado para construir uma Rede de Distribuição de Conteúdo (CDN) Ponto a Ponto (P2P) em dispositivos infectados e possui recursos DDoS para transformar ainda mais esses dispositivos em armas.
O Bigpanzi Botnet Tem Alcance Global
Durante os horários de pico, o botnet Bigpanzi possui 170.000 bots diários e, desde agosto de 2023, os pesquisadores identificaram mais de 1,3 milhão de IPs distintos associados ao botnet. No entanto, devido à atividade intermitente das caixas de TV comprometidas e às limitações na visibilidade dos analistas de segurança cibernética, é altamente provável que o tamanho real do botnet ultrapasse estes números. Nos últimos oito anos, o Bigpanzi parece ter operado secretamente, acumulando riqueza discretamente. À medida que suas operações avançavam, houve uma proliferação notável de amostras, nomes de domínio e endereços de IP.
Os investigadores sugerem que, dada a enormidade e complexidade da rede, as suas descobertas apenas arranham a superfície do que o Bigpanzi realmente implica. Até o momento, os especialistas em segurança da informação não divulgaram quaisquer detalhes sobre a atribuição da operação do botnet. No entanto, uma análise da ameaça pcdn os levou a um canal suspeito no YouTube que se acredita estar sob o controle de uma determinada empresa.
Vetores de Infecção Explorados pelos Autores de Ameaças por Trás do Bigpanzi
O grupo cibercriminoso concentra-se nas plataformas Android e eCos, utilizando três métodos distintos para infectar os dispositivos dos usuários:
- Aplicativos piratas de filmes e TV (Android) : Bigpanzi aproveita aplicativos piratas relacionados a filmes e programas de TV em dispositivos Android. Os usuários baixam e instalam inadvertidamente esses aplicativos ameaçadores, fornecendo um ponto de entrada para o botnet comprometer os dispositivos.
- Firmware OTA genérico backdoor (Android) : Outro método envolve a manipulação de atualizações de firmware over-the-air (OTA) em dispositivos Android. Os cibercriminosos introduzem backdoors nessas atualizações, permitindo-lhes explorar vulnerabilidades durante o processo de instalação e obter acesso não autorizado aos dispositivos.
- Firmware 'SmartUpTool' backdoor (eCos) : Para dispositivos que operam na plataforma eCos, Bigpanzi tem como alvo um firmware específico chamado 'SmartUpTool'. Os cibercriminosos comprometem este firmware introduzindo backdoors, permitindo-lhes infiltrar-se e controlar dispositivos alimentados por eCos.
Ao empregar esses três métodos, a Bigpanzi garante uma gama diversificada de vetores de ataque, explorando usuários desavisados que se envolvem com conteúdo pirata ou atualizam seus dispositivos através de firmware comprometido.
