Dark Mirai Botnet

Apesar do botnet Mirai ter sido encerrado anos atrás, seu legado continua vivo. Após o lançamento do código-fonte do botnet, muitos cibercriminosos o usaram como base para criar suas próprias versões do malware. Uma das ramificações do Mirai que ainda está ativa é rastreada pela comunidade infosec como Dark Mirai (também conhecida como MANGA). E de acordo com os pesquisadores da Fortinet que monitoram as atividades desse botnet, seus operadores continuam a equipá-lo com novas vulnerabilidades para explorar.

Uma das mais recentes a ser adicionada ao Dark Mirai impacta uma linha de roteadores domésticos TP-Link populares. Mais especificamente, o modelo afetado é o TL-WR840N EU V5 lançado em 2017. A vulnerabilidade particular - CVE-2021-41653 permite que um usuário autenticado execute comandos no dispositivo devido a uma variável 'host' vulnerável. Deve-se notar que a TP-Link abordou o problema com o lançamento de uma atualização de firmware em 12 de novembro de 2021, então os hackers Dark Mirai estão apostando que os usuários não atualizam seus dispositivos e permanecem vulneráveis.

Ao descobrir um dispositivo adequado, os atacantes irão explorar a vulnerabilidade CVE-2021-41653 para fazer o download e executar um script chamado 'tshit.sh.' Esse script é então responsável por buscar as cargas úteis principais por meio de duas solicitações. Como os invasores precisam ser autenticados, os usuários que ainda usam as credenciais padrão para seus roteadores são os que têm maior probabilidade de estar comprometidos.

Quando implantado, o Dark Mirai identificará a arquitetura do roteador infectado e, em seguida, buscará uma carga apropriada. A ameaça irá isolar o dispositivo de uma possível infiltração de outros botnets concorrentes, fechando várias portas comumente visadas. O Dark Mirai ficará dormente, esperando por comandos de seu servidor de Comando e Controle (C&C).