Threat Database Botnets ZHtrap Botnet

ZHtrap Botnet

Embora o código-fonte do infame botnet Mirai tenha vazado para o público em 2016, os cibercriminosos ainda estão usando bits e peças ou se inspirando nisso. Um exemplo deste último é o ZHtrap Botnet descoberto pelos pesquisadores da 360 Netlab.

O malware pode assumir o controle de uma ampla gama de dispositivos e assimilá-los na estrutura do botnet. O objetivo principal do botnet parece ser a execução de ataques DDoS (negação de serviço distribuída), mas um canal de backdoor criado nos dispositivos comprometidos também permite que o agente da ameaça solte cargas de malware adicionais. A infraestrutura de comando e controle para a campanha emprega um servidor hospedado na rede TOR e um proxy TOR que mascara o tráfego de comunicação anormal gerado pelo botnet.

Para sua distribuição, o ZHtrap tira proveito de quatro vulnerabilidades conhecidas que permitem infectar roteadores, DVRs e dispositivos de rede UPnP. Mais especificamente, ZHtrap segue Netgear DGN1000, MVPower DVR, Realtek SDK Miniigd UPnP SOAP endpoints e vários dispositivos CCTV-DVR. Dispositivos com senhas Telnet fracas também serão atacados.

A ameaça de malware garantirá que seja a única carga maliciosa em execução no dispositivo específico por meio de uma lista de permissões que inclui apenas os processos que já foram iniciados no dispositivo. Todas as tentativas de executar comandos adicionais serão bloqueadas.

No entanto, o aspecto que mais distingue o ZHtrap da maioria dos outros botnets é sua capacidade de transformar dispositivos comprometidos em honeypots. O termo honeypot é usado no campo da segurança cibernética para se referir a uma ferramenta que atua como isca para ataques de malware, coletando varreduras, amostras de código e explorações potenciais. ZHtrap usa uma técnica semelhante, mas inverte seu propósito. Ele instrui os dispositivos capturados a começar a escutar uma lista de 23 portas. Todos os endereços IP que tentam se conectar por meio dessas portas serão alimentados pelo módulo de varredura do malware como novos alvos potenciais.

Tendendo

Mais visto

Carregando...