Mozi Botnet
O rápido desenvolvimento da tecnologia da Internet e dos dispositivos conectados à Internet permitiu que os cibercriminosos escolham seus alvos quando se trata de construir uma botnet - alguns operadores de botnet aderem à infecção de computadores clássicos, enquanto outros buscam dispositivos inteligentes ou roteadores domésticos. No caso do Mozi Botnet, os atacantes optaram por tentar infectar roteadores vulneráveis e torná-los parte de seu botnet. O grupo por trás do Mozi Botnet parece ter como alvo uma longa lista de fabricantes de roteadores que inclui nomes notáveis como Huawei, D-Link e Netgear.
Os especialistas em malware suspeitam que o Mozi Botnet esteja ativo desde setembro e, durante esse período, examinou a Web em busca de roteadores usando credenciais de login fracas ou firmware desatualizado, vulnerável a explorações ativamente.
O Mozi Botnet Usa o Protocolo DHT Usado pelo Software Per-to-Per
Uma das peculiaridades interessantes do Mozi Botnet é que ele usa o protocolo Distributed Hash Table (DHT) para procurar dispositivos e entregar a carga útil. Esse protocolo é usado principalmente por aplicativos ponto a ponto e é usado para transferir enormes quantidades de tráfego; portanto, é improvável que o tráfego DHT artificial encontrado nos logs do roteador infectado levante sinais de alerta.
Em termos de funcionalidade, o Mozi Botnet oferece suporte a vários comandos que permitem ao operador executar as seguintes tarefas no dispositivo infectado:
- Iniciar um ataque de negação de serviço distribuído usando todos os dispositivos infectados ativos.
- Reunir informações sobre dispositivos infectados.
- Fazer o download e executar uma carga útil de um URL.
- Carregar uma carga útil e executa-la.
- Iniciar comandos remotos.
O Mozi Botnet não é um projeto espetacular, mas a operação ameaçadora vem se expandindo rapidamente e parece que o número de dispositivos infectados continua aumentando mensalmente. Para garantir que o seu roteador doméstico ou do escritório esteja protegido, use uma senha bem construída e aplique as atualizações de firmware mais recentes que eliminarão explorações públicas.