📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um novo malware chamado KadNap, que tem como alvo principal os roteadores Asus para inscrevê-los em uma botnet para proxy de tráfego malicioso.
O malware, detectado pela primeira vez em agosto de 2025, se expandiu para mais de 14.000 dispositivos infectados, com mais de 60% das vítimas localizadas nos EUA, de acordo com a equipe do Black Lotus Labs da Lumen. Um número menor de infecções foi detectado em Taiwan, Hong Kong, Rússia, Reino Unido, Austrália, Brasil, França, Itália e Espanha.
“KadNap emprega uma versão personalizada do protocolo Kademlia Distributed Hash Table (DHT), que é usado para ocultar o endereço IP de sua infraestrutura dentro de um sistema peer-to-peer para evitar o monitoramento de rede tradicional”, disse a empresa de segurança cibernética em um relatório compartilhado com The Hacker News.
Os nós comprometidos na rede aproveitam o protocolo DHT para localizar e conectar-se a um servidor de comando e controle (C2), tornando-o resiliente aos esforços de detecção e interrupção.
Depois que os dispositivos são comprometidos com sucesso, eles são comercializados por um serviço de proxy chamado Doppelgänger ("loja doppelganger[.]"), que é avaliado como uma reformulação da marca Faceless, outro serviço de proxy associado ao malware TheMoon. A Doppelgänger, de acordo com seu site, afirma oferecer procurações residentes em mais de 50 países que proporcionam “100% de anonimato”. Diz-se que o serviço foi lançado em maio/junho de 2025.
Apesar do foco nos roteadores Asus, descobriu-se que os operadores do KadNap implantam o malware em um conjunto variado de dispositivos de rede de ponta.
Central para o ataque é um script de shell ("aic.sh") que é baixado do servidor C2 ("212.104.141[.]140"), que é responsável por iniciar o processo de recrutamento da vítima para a rede P2P. O arquivo cria um cron job para recuperar o script de shell do servidor na marca de 55 minutos de cada hora, renomeá-lo para “.asusrouter” e executá-lo.
Depois que a persistência é estabelecida, o script extrai um arquivo ELF malicioso, renomeia-o para “kad” e o executa. Isso, por sua vez, leva à implantação do KadNap. O malware é capaz de atingir dispositivos que executam processadores ARM e MIPS.
KadNap também foi projetado para se conectar a um servidor Network Time Protocol (NTP) para buscar a hora atual e armazená-la junto com o tempo de atividade do host. Essas informações servem de base para criar um hash que serve para localizar outros peers na rede descentralizada para receber comandos ou baixar arquivos adicionais.
Os arquivos – fwr.sh e /tmp/.sose – contêm funcionalidade para fechar a porta 22, a porta TCP padrão para Secure Shell (SSH), no dispositivo infectado e extrair uma lista de combinações de endereço IP C2:porta para conexão.
“Resumindo, o uso inovador do protocolo DHT permite que o malware estabeleça canais de comunicação robustos que são difíceis de interromper, escondendo-se no ruído do tráfego peer-to-peer legítimo”, disse Lumen.
Uma análise mais aprofundada determinou que nem todos os dispositivos comprometidos se comunicam com todos os servidores C2, indicando que a infraestrutura está sendo categorizada com base no tipo e modelo de dispositivo.
A equipe do Black Lotus Labs disse ao The Hacker News que os bots do Doppelgänger estão sendo abusados por agentes de ameaças na natureza. “Há um problema, já que esses Asus (e outros dispositivos) às vezes também são co-infectados com outros malwares: é complicado dizer quem exatamente é responsável por uma atividade maliciosa específica”, disse a empresa.
Os usuários que executam roteadores SOHO são aconselhados a manter seus dispositivos atualizados, reinicializá-los regularmente, alterar as senhas padrão, proteger as interfaces de gerenciamento e substituir os modelos que estão em fim de vida e não são mais suportados.
“O botnet KadNap se destaca entre outros que suportam proxies anônimos no uso de uma rede peer-to-peer para controle descentralizado”, concluiu Lumen. “A intenção deles é clara: evitar a detecção e dificultar a proteção dos defensores.”
Nova ameaça ao Linux ClipXDaemon surge
A divulgação ocorre no momento em que Cyble detalha uma nova ameaça ao Linux chamada ClipXDaemon, projetada para atingir usuários de criptomoedas, interceptando e alterando endereços de carteiras copiados. O malware clipper, entregue por meio da estrutura pós-exploração do Linux chamada ShadowHS, foi descrito como um sequestrador de área de transferência de criptomoeda autônomo direcionado a ambientes Linux X11.
Instalado inteiramente na memória, o malware emprega técnicas furtivas, como mascaramento de processos e prevenção de sessão Wayland, ao mesmo tempo em que monitora a área de transferência a cada 200 milissegundos e substitui endereços de criptomoedas por carteiras controladas pelo invasor. É capaz de atingir carteiras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple e TON.
A decisão de evitar a execução nas sessões do Wayland é deliberada, pois a arquitetura de segurança do protocolo do servidor de exibição coloca controles adicionais
O malware, detectado pela primeira vez em agosto de 2025, se expandiu para mais de 14.000 dispositivos infectados, com mais de 60% das vítimas localizadas nos EUA, de acordo com a equipe do Black Lotus Labs da Lumen. Um número menor de infecções foi detectado em Taiwan, Hong Kong, Rússia, Reino Unido, Austrália, Brasil, França, Itália e Espanha.
“KadNap emprega uma versão personalizada do protocolo Kademlia Distributed Hash Table (DHT), que é usado para ocultar o endereço IP de sua infraestrutura dentro de um sistema peer-to-peer para evitar o monitoramento de rede tradicional”, disse a empresa de segurança cibernética em um relatório compartilhado com The Hacker News.
Os nós comprometidos na rede aproveitam o protocolo DHT para localizar e conectar-se a um servidor de comando e controle (C2), tornando-o resiliente aos esforços de detecção e interrupção.
Depois que os dispositivos são comprometidos com sucesso, eles são comercializados por um serviço de proxy chamado Doppelgänger ("loja doppelganger[.]"), que é avaliado como uma reformulação da marca Faceless, outro serviço de proxy associado ao malware TheMoon. A Doppelgänger, de acordo com seu site, afirma oferecer procurações residentes em mais de 50 países que proporcionam “100% de anonimato”. Diz-se que o serviço foi lançado em maio/junho de 2025.
Apesar do foco nos roteadores Asus, descobriu-se que os operadores do KadNap implantam o malware em um conjunto variado de dispositivos de rede de ponta.
Central para o ataque é um script de shell ("aic.sh") que é baixado do servidor C2 ("212.104.141[.]140"), que é responsável por iniciar o processo de recrutamento da vítima para a rede P2P. O arquivo cria um cron job para recuperar o script de shell do servidor na marca de 55 minutos de cada hora, renomeá-lo para “.asusrouter” e executá-lo.
Depois que a persistência é estabelecida, o script extrai um arquivo ELF malicioso, renomeia-o para “kad” e o executa. Isso, por sua vez, leva à implantação do KadNap. O malware é capaz de atingir dispositivos que executam processadores ARM e MIPS.
KadNap também foi projetado para se conectar a um servidor Network Time Protocol (NTP) para buscar a hora atual e armazená-la junto com o tempo de atividade do host. Essas informações servem de base para criar um hash que serve para localizar outros peers na rede descentralizada para receber comandos ou baixar arquivos adicionais.
Os arquivos – fwr.sh e /tmp/.sose – contêm funcionalidade para fechar a porta 22, a porta TCP padrão para Secure Shell (SSH), no dispositivo infectado e extrair uma lista de combinações de endereço IP C2:porta para conexão.
“Resumindo, o uso inovador do protocolo DHT permite que o malware estabeleça canais de comunicação robustos que são difíceis de interromper, escondendo-se no ruído do tráfego peer-to-peer legítimo”, disse Lumen.
Uma análise mais aprofundada determinou que nem todos os dispositivos comprometidos se comunicam com todos os servidores C2, indicando que a infraestrutura está sendo categorizada com base no tipo e modelo de dispositivo.
A equipe do Black Lotus Labs disse ao The Hacker News que os bots do Doppelgänger estão sendo abusados por agentes de ameaças na natureza. “Há um problema, já que esses Asus (e outros dispositivos) às vezes também são co-infectados com outros malwares: é complicado dizer quem exatamente é responsável por uma atividade maliciosa específica”, disse a empresa.
Os usuários que executam roteadores SOHO são aconselhados a manter seus dispositivos atualizados, reinicializá-los regularmente, alterar as senhas padrão, proteger as interfaces de gerenciamento e substituir os modelos que estão em fim de vida e não são mais suportados.
“O botnet KadNap se destaca entre outros que suportam proxies anônimos no uso de uma rede peer-to-peer para controle descentralizado”, concluiu Lumen. “A intenção deles é clara: evitar a detecção e dificultar a proteção dos defensores.”
Nova ameaça ao Linux ClipXDaemon surge
A divulgação ocorre no momento em que Cyble detalha uma nova ameaça ao Linux chamada ClipXDaemon, projetada para atingir usuários de criptomoedas, interceptando e alterando endereços de carteiras copiados. O malware clipper, entregue por meio da estrutura pós-exploração do Linux chamada ShadowHS, foi descrito como um sequestrador de área de transferência de criptomoeda autônomo direcionado a ambientes Linux X11.
Instalado inteiramente na memória, o malware emprega técnicas furtivas, como mascaramento de processos e prevenção de sessão Wayland, ao mesmo tempo em que monitora a área de transferência a cada 200 milissegundos e substitui endereços de criptomoedas por carteiras controladas pelo invasor. É capaz de atingir carteiras Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple e TON.
A decisão de evitar a execução nas sessões do Wayland é deliberada, pois a arquitetura de segurança do protocolo do servidor de exibição coloca controles adicionais
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #malware #kadnap #infecta #mais #de #14.000 #dispositivos #edge #para #potencializar #botnet #stealth #proxy
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário