Caos Desencadeado: o Malware Condi Assume o Controle dos Roteadores Wi-Fi TP-Link para Ataques de DDoS Devastadores

Por Chance em Computer Security, Botnets

Traduzir Para:

Um malware recém-descoberto, Condi, surgiu como uma ameaça significativa, aproveitando uma vulnerabilidade de segurança nos roteadores Wi-Fi TP-Link Archer AX21 (AX1800). Seu objetivo principal é aproveitar esses dispositivos comprometidos, reunindo-os em uma poderosa botnet de negação de serviço distribuído (DDoS). Os pesquisadores notaram um aumento acentuado na intensidade da campanha desde a conclusão de maio de 2023.

Quem está por Trás de Condi?

O cérebro por trás de Condi é um indivíduo conhecido pelo apelido online zxcr9999 , que promove ativamente suas atividades ilícitas por meio do canal de Telegram Condi Network. A partir de maio de 2022, o agente da ameaça monetizou sua botnet oferecendo DDoS como serviço e até mesmo vendendo o código-fonte do malware. Pesquisadores de segurança analisaram minuciosamente o malware, descobrindo sua capacidade de eliminar botnets concorrentes no mesmo host. No entanto, o Condi carece de um mecanismo de persistência, tornando-o incapaz de sobreviver a uma reinicialização do sistema.

Para superar a limitação de persistência após a reinicialização do sistema, o Condi age excluindo vários binários responsáveis pelo desligamento ou reinicialização do sistema. Esses binários incluem /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt e /usr/bin/halt. Vale a pena notar que o botnet Mirai explorou anteriormente a vulnerabilidade visada.

Ao contrário de outros malwares generalizados, o Condi utiliza um módulo de scanner para identificar roteadores TP-Link Archer AX21 vulneráveis a CVE-2023-1389 (pontuação CVSS: 8,8). Em vez de empregar ataques de força bruta como alguns botnets, Condi executa um shell script obtido de um servidor remoto para depositar o malware nos dispositivos identificados.

De acordo com analistas de segurança, várias instâncias do Condi surgiram, explorando várias vulnerabilidades de segurança conhecidas para se propagar. Isso indica que os dispositivos que executam software sem patch são particularmente suscetíveis a serem alvo desse malware de botnet. Além de suas táticas agressivas de monetização, o objetivo principal da Condi é comprometer os dispositivos e estabelecer uma formidável rede de bots DDoS. Esse botnet pode então ser alugado para outros agentes de ameaças, permitindo que eles lancem ataques de inundação TCP e UDP em sites e serviços direcionados.

Neutralizar botnets é fundamental para manter um ecossistema digital seguro e estável. Botnets, como o malware Condi, podem explorar vulnerabilidades em software sem patches e aproveitar uma rede de dispositivos comprometidos para atividades prejudiciais, como ataques DDoS. Esses ataques interrompem os serviços online e ameaçam significativamente a integridade e a disponibilidade da infraestrutura crítica. Indivíduos, organizações e profissionais de segurança devem permanecer vigilantes, manter o software atualizado e empregar medidas de segurança robustas para detectar e mitigar ameaças de botnet. Ao neutralizar ativamente botnets, podemos proteger nossos ambientes digitais e contribuir para um ambiente online mais seguro para todos os usuários.