Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet Masjesu

Botnet Masjesu

Por Mezo em Redes de Bots
Traduzir Para:

Analistas de cibersegurança descobriram uma botnet altamente secreta, projetada especificamente para ataques de negação de serviço distribuídos (DDoS). Conhecida como Masjesu, essa operação circula desde 2023 como um serviço de DDoS sob demanda, promovido principalmente por meio de canais do Telegram.

Em vez de buscar infecções em massa, a botnet adota uma abordagem contida e calculada. Seu projeto enfatiza a persistência e o sigilo, evitando deliberadamente alvos de alto perfil, como redes associadas ao Departamento de Defesa. Essa estratégia reduz significativamente a probabilidade de detecção e desmantelamento, permitindo que a operação perdure ao longo do tempo.

Identidade dupla e operações criptografadas

Masjesu também é conhecido como XorBot, nome derivado do uso de técnicas de criptografia baseadas em XOR. Esses métodos são aplicados para obscurecer strings, dados de configuração e payloads, dificultando os esforços de análise e detecção.

A botnet foi documentada pela primeira vez em dezembro de 2023 e associada a um operador conhecido como 'synmaestro'. Desde seu surgimento, demonstrou um foco claro em manter baixa visibilidade, permitindo, ao mesmo tempo, o controle remoto eficiente de sistemas comprometidos.

Ampliação do arsenal e das capacidades de exploração

Uma versão mais recente da botnet, observada aproximadamente um ano depois, introduziu melhorias significativas. Ela incorporou múltiplas vulnerabilidades de injeção de comandos e execução remota de código, visando uma ampla gama de dispositivos da Internet das Coisas (IoT), incluindo roteadores, câmeras, DVRs e NVRs de diversos fabricantes importantes.

Essas atualizações também incluíram módulos dedicados para a execução de ataques DDoS de grande volume, reforçando seu papel como um serviço de ataque comercial.

As principais funcionalidades incluem:

  • Exploração de vulnerabilidades em diversas arquiteturas de hardware da IoT
  • Integração de 12 vetores de ataque distintos para acesso inicial.
  • Implantação de módulos especializados para operações de DDoS volumétricas

Fluxo de infecção e mecanismos de persistência

Uma vez que um dispositivo é comprometido, o malware inicia uma cadeia de execução estruturada, projetada para manter o controle e evitar interferências. Ele estabelece um socket vinculado a uma porta TCP predefinida (55988), permitindo a comunicação direta com o atacante. Se essa etapa falhar, o processo de infecção termina imediatamente.

Se bem-sucedido, o malware utiliza técnicas de persistência, suprimindo sinais de encerramento e desativando utilitários comuns como wget e curl, provavelmente para eliminar malwares concorrentes. Em seguida, ele se conecta a um servidor externo de comando e controle para receber instruções e lançar ataques contra alvos designados.

Autopropagação e direcionamento estratégico

Masjesu possui funcionalidade de autopropagação, permitindo-lhe escanear endereços IP aleatórios em busca de sistemas vulneráveis. Uma vez identificados, esses dispositivos são incorporados à infraestrutura da botnet, expandindo sua capacidade operacional.

Uma tática notável envolve a busca pela porta 52869, associada ao serviço miniigd do SDK da Realtek, um método anteriormente utilizado por outras botnets como JenX e Satori.

A distribuição geográfica do tráfego de ataques mostra concentração em:

  • Vietnã (aproximadamente 50% da atividade observada)
  • Ucrânia, Irã, Brasil, Quênia e Índia.

Apesar de sua expansão agressiva, a botnet evita atacar organizações críticas ou sensíveis. Essa contenção deliberada reduz a exposição legal e aumenta a capacidade de sobrevivência a longo prazo.

Estratégia de comercialização e crescimento

Masjesu continua a evoluir como um serviço estruturado de cibercrime. Seus operadores promovem ativamente suas funcionalidades via Telegram, posicionando-o como uma solução escalável para atacar redes de distribuição de conteúdo, infraestrutura de jogos e sistemas corporativos.

Essa dependência das plataformas de mídia social para recrutamento e publicidade provou ser eficaz, permitindo um crescimento constante e atraindo uma base de clientes interessados em lançar ataques DDoS sem conhecimento técnico.

Uma ameaça cibernética crescente e persistente

Como uma família de botnets emergente, a Masjesu demonstra um forte impulso tanto em sofisticação técnica quanto em expansão operacional. Sua combinação de furtividade, exploração direcionada e acessibilidade comercial a torna uma ameaça notável no cenário moderno de segurança cibernética.

Ao priorizar a persistência em detrimento da visibilidade e ao aproveitar técnicas de ataque em constante evolução, a botnet continua a infiltrar e controlar ambientes de IoT em todo o mundo, minimizando o risco de interrupção.

Tendendo

Mais visto

Carregando...