Mirai_ptea Botnet

Uma nova variante baseada no infame Mirai Botnet foi detectada como parte das operações ativas de uma ameaça. Batizada de Mirai_ptea pelos pesquisadores de malware, a nova ameaça explora uma vulnerabilidade nos dispositivos KGUARD DVR. Certos detalhes sobre a vulnerabilidade específica são mantidos em sigilo, mas, em resumo, permite que os agentes da ameaça acessem o programa rsSystemServer no firmware do KGUARD DVR e possam ouvir na porta 56 *** em 0.0.0.0 para executar comandos arbitrários do sistema remotamente, sem ter a necessidade de se autenticar. Deve-se observar que esse exploit em particular foi corrigido nas versões de firmware lançadas após 2017. Ainda assim, os pesquisadores da infosec descobriram aproximadamente 3.000 dispositivos vulneráveis que podem ser comprometidos pelo Mirai_ptea. A maioria dos dispositivos já violados parece estar localizada nos Estados Unidos, seguidos pela Coréia e Brasil.

Capacidades Ameaçadoras

O Mirai Botnet ganhou notoriedade em 2016 e, logo depois, seu código-fonte vazou em fóruns de hackers, transformando efetivamente a ameaça em malware de código aberto. Desde então, os cibercrupulosos sem escrúpulos têm criado inúmeras ameaças com dependência variável do código Mirai original. Quanto ao Mira_ptea, a análise de seu código e atividades mostra que, no nível de comportamento do host, ele é quase idêntico ao Mirai. As principais diferenças são encontradas na maneira como Mirai_ptea lida com seu tráfego de rede. Na verdade, seu nome foi derivado de dois deles - o uso de um Proxy TOR para comunicação com o servidor Command-and-Control (C2, C&C) e a confiança no TEA (Tine Encryption Algorithm) para mascarar dados de recursos confidenciais. A principal funcionalidade ameaçadora do Mirai_ptea é a execução de ataques DDoS (Negação de Serviço Distribuída) e a ameaça foi usada em ataques ativos contra alvos selecionados.