Pesquisadores Desmontam Botnet Híbrido Enemybot Expondo Perigos Reais
Uma equipe de pesquisadores da empresa de segurança FortiGuard publicou uma postagem recente no blog, detalhando um novo malware botnet. O botnet está focado principalmente em fornecer ataques distribuídos de negação de serviço e é chamado de Enemybot.
O Enemybot é uma Mistura do Mirai e do Gafgyt
De acordo com o FortiGuard, o Enemybot é uma espécie de mutante que toma emprestado código e módulos tanto do infame botnet Mirai quanto do botnet Bashlite ou Gafgyt, mais do último. O fato de ambas as famílias de botnets terem seu código-fonte disponível online torna mais fácil para os novos agentes de ameaças pegar a tocha, misturar e combinar e produzir sua própria versão, bem como o Enemybot.
O novo malware Enemybot está associado ao agente de ameaças Keksec - uma entidade conhecida principalmente por realizar ataques anteriores de negação de serviço distribuído (DDoS). O novo malware foi detectado pelo FortiGuard em ataques direcionados ao hardware do roteador do fabricante coreano Seowon Intech, bem como aos roteadores D-Link mais populares. Dispositivos Android mal configurados também são suscetíveis ao ataque do malware.
Os perigos reais do Enemybot foram expostos. Para comprometer os dispositivos alvo, o Enemybot recorre a uma ampla gama de explorações e vulnerabilidades conhecidas, incluindo a mais importante do ano passado - Log4j.
Enemybot Tem como Alvo uma Ampla Gama de Dispositivos
O malware implanta um arquivo no diretório /tmp, com a extensão .pwned. O arquivo .pwned contém uma mensagem de texto simples, provocando a vítima e comunicando quem são os autores, neste caso - Keksec.
O botnet Enemybot tem como alvo quase todas as arquiteturas de chip que você pode imaginar, de várias versões do arm, ao padrão x64 e x86, ao bsd e spc.
Uma vez implantado, a carga útil do botnet baixa binários do servidor C2 e os binários são usados para executar comandos DDoS. O malware também tem um nível de ofuscação, incluindo ter seu servidor C2 usando um domínio .onion.
O FortiGuard acredita que o malware ainda está sendo ativamente trabalhado e aprimorado, possivelmente por mais de um grupo de agentes de ameaças, devido a alterações detectadas em diferentes versões da mensagem do arquivo .pwned.