Bitxor20 Botnet

Um novo botnet que explora a vulnerabilidade Log4J foi detectada pelos especialistas em segurança cibernética. A ameaça é rastreada como o botnet Bitxor20 e seus principais alvos são os sistemas Linux. Uma vez adicionados ao botnet, os dispositivos comprometidos podem ser comandados para executar uma grande lista de funções ameaçadoras. De fato, de acordo com um relatório do Network Security Research Lab do Qihoo 360 (360 Netlab), o Bitxor20 coleta informações confidenciais, implanta rootkits, abre shells reversos e estabelece proxies na Web.

Para permanecer invisível, a ameaça usa o método testado e comprovado de encapsulamento de DNS. Primeiro, todas as informações capturadas, resultados de comandos ou outros dados necessários são criptografados por meio de técnicas de codificação específicas. Em seguida, ele é entregue ao servidor de Comando e Controle (C2, C&C) da operação como uma solicitação de DNS. Em resposta, o servidor C2 retorna uma carga útil escolhida para o dispositivo bot. Deve-se notar que certos recursos ameaçadores que foram descobertos como parte do Bitxor20 foram ativados pelos criadores do malware. Esse fato pode sinalizar que a ameaça ainda está em desenvolvimento ativo e pode se tornar ainda mais potente no futuro.