Fodcha Botnet

Um novo botnet chamado Fodcha está crescendo rapidamente, incorporando dispositivos vulneráveis no seu exército de bots. Os operadores do botnet a usaram para lançar ataques de DDoS (Distributed Denial-of-Service) contra mais de cem vítimas por dia. As atividades da ameaça foram identificadas pelos pesquisadores do Network Security Research Lab do Qihoo 360 (360 Netlab) e, de acordo com suas estimativas, o Fodcha se espalhou para mais de 62.000 dispositivos no período entre 29 de março e 10 de abril de 2022.

A Fodcha conta com vulnerabilidades de N-day, bem como táticas de força bruta para comprometer seus dispositivos alvo, que incluem roteadores, DVRs e servidores. Mais especificamente, alguns dos modelos para os quais a botnet se destina são os roteadores Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, ZHONE e outros. As arquiteturas direcionadas incluem MIPS, MPSL, ARM, x86 e muito mais. Para suas tentativas de força bruta, Fodcha utiliza uma ferramenta de cracking conhecida como Crazyfia.

Deve-se notar que os operadores do botnet Fodcha foram forçados a mudar seus servidores de Comando e Controle (C2, C&C) depois que seu fornecedor inicial de nuvem os derrubou. A segunda infraestrutura opera a partir do frigoríficoxperts[.]cc e é mapeada para mais de 12 IPs. Além disso, é distribuído entre vários países do mundo, incluindo Coréia, Japão, Índia e EUA. Para evitar um resultado semelhante ao da primeira iteração, os agentes de ameaças estão usando mais provedores de nuvem, como Amazon, DigitalOCean, Linode, DediPath e muito mais.