InfectedSlurs Botnet

Um botnet de malware descoberto recentemente, ‘InfectedSlurs’, está aproveitando duas vulnerabilidades de dia zero para execução remota de código (RCE) para comprometer roteadores e dispositivos de gravador de vídeo (NVR). Este software ameaçador assume o controle dos dispositivos infectados, incorporando-os em um enxame DDoS (Distributed Denial of Service), provavelmente alugado para ganho financeiro. Os analistas sugerem que os primeiros sinais de atividade da botnet remontam ao final de 2022, mas foi descoberto pela primeira vez em outubro de 2023.

O InfectedSlurs Botnet Conseguiu Permanecer sob o Radar

Os analistas detectaram comportamento suspeito envolvendo sondagens de baixa frequência que tentavam autenticação por meio de solicitações POST, seguidas por uma tentativa de injeção de comando. Utilizando os dados disponíveis, os pesquisadores realizaram uma varredura abrangente na Internet e identificaram que os dispositivos afetados estavam associados a um fabricante específico de NVR. Suas descobertas indicaram que o botnet explora uma vulnerabilidade de Execução Remota de Código (RCE) não relatada para obter entrada não autorizada no dispositivo.

Após uma inspeção mais detalhada, foi revelado que o malware tira vantagem das credenciais padrão encontradas nos manuais do fornecedor para vários produtos NVR. Ele utiliza essas credenciais para instalar um cliente bot e realizar outras ações maliciosas. Aprofundando a investigação, descobriu-se que a botnet também tem como alvo um roteador LAN sem fio amplamente utilizado, popular entre usuários domésticos e hotéis. Este roteador é suscetível a outra falha RCE de dia zero explorada pelo malware para suas atividades.

O InfectedSlurs Mostra Pequenas Melhorias em Relação ao Mirai

O malware identificado, apelidado de ‘InfectedSlurs’ pelos pesquisadores, ganhou esse nome devido à utilização de linguagem ofensiva presente nos domínios de Comando e Controle (C2, C&C) e strings codificadas. A infraestrutura C2, que também parece facilitar as operações do hailBot, apresenta uma concentração notável. Esta ameaça é identificada como uma variante JenX Mirai. Além disso, uma investigação descobriu uma conta do Telegram associada ao cluster, embora a conta já tenha sido excluída.

O usuário por trás da conta compartilhou capturas de tela revelando cerca de dez mil bots usando o protocolo Telnet e outros 12.000 bots direcionados a tipos/marcas de dispositivos específicos, como ‘Vacron’, ‘ntel’ e ‘UTT-Bots’.

Após a análise, foram identificadas modificações mínimas no código em comparação com o Mirai Botnet original, indicando que o InfectedSlurs opera como uma ferramenta DDoS de autopropagação. Ele suporta ataques que utilizam inundações de solicitações SYN, UDP e HTTP GET.

Semelhante ao Mirai, o InfectedSlurs não possui um mecanismo de persistência. Como não há patch disponível para os dispositivos afetados, a interrupção temporária da botnet pode ser conseguida reiniciando os dispositivos NVR e roteador.