📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética revelaram uma botnet furtiva projetada para ataques distribuídos de negação de serviço (DDoS).
Chamado Masjesu, o botnet tem sido anunciado via Telegram como um serviço de aluguel de DDoS desde que surgiu pela primeira vez em 2023. É capaz de atingir uma ampla gama de dispositivos IoT, como roteadores e gateways, abrangendo várias arquiteturas.
"Construído para persistência e baixa visibilidade, Masjesu favorece a execução cuidadosa e discreta em vez de infecção generalizada, evitando deliberadamente intervalos de IP em listas de bloqueio, como aqueles pertencentes ao Departamento de Defesa (DoD), para garantir a sobrevivência a longo prazo", disse o pesquisador de segurança da Trellix, Mohideen Abdul Khader F, em um relatório de terça-feira.
É importante notar que a oferta comercial também atende pelo apelido de XorBot devido ao uso de criptografia baseada em XOR para ocultar strings, configurações e dados de carga útil. Foi documentado pela primeira vez pelo fornecedor de segurança chinês NSFOCUS em dezembro de 2023, vinculando-o a um operador chamado "synmaestro".
Descobriu-se que uma iteração subsequente da botnet observada um ano depois adicionou 12 explorações diferentes de injeção de comando e execução de código para direcionar roteadores, câmeras, DVRs e NVRs da D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron, e obter acesso inicial. Também foram adicionados novos módulos para conduzir ataques de inundação DDoS.
"Como uma família emergente de botnets, o XorBot está mostrando um forte impulso de crescimento, infiltrando-se e controlando continuamente novos dispositivos IoT", disse NSFOCUS em novembro de 2024. "Notavelmente, esses controladores estão cada vez mais inclinados a usar plataformas de mídia social, como o Telegram, como os principais canais de recrutamento e promoção, atraindo 'clientes' alvo por meio de atividades promocionais ativas iniciais, estabelecendo uma base sólida para a subsequente expansão e desenvolvimento do botnet."
As últimas descobertas da Trellix mostram que Masjesu comercializou a capacidade de realizar ataques DDoS volumétricos, enfatizando sua infraestrutura diversificada de botnets e sua adequação para atingir redes de entrega de conteúdo (CDNs), servidores de jogos e empresas. Os ataques realizados pela botnet originam-se principalmente do Vietnã, Ucrânia, Irã, Brasil, Quênia e Índia, sendo o Vietnã responsável por quase 50% do tráfego observado.
Depois de implantado em um dispositivo comprometido, o malware se move para criar e vincular um soquete com uma porta TCP codificada (55988) para permitir que o invasor se conecte diretamente. Se esta operação falhar, a cadeia de ataque será imediatamente eliminada.
Caso contrário, o malware configura a persistência, ignora os sinais relacionados ao encerramento, interrompe processos comumente usados, como wget e curl, possivelmente para interromper botnets concorrentes e, em seguida, se conecta a um servidor externo para receber comandos de ataque DDoS para executá-los contra alvos de interesse.
Masjesu também se orgulha de recursos de autopropagação, permitindo sondar endereços IP aleatórios em busca de portas abertas e inserir dispositivos comprometidos com sucesso em sua infraestrutura. Uma adição notável à lista de alvos de exploração são os roteadores Realtek, que são realizados por meio da verificação de 52869 – uma porta associada ao daemon miniigd do SDK da Realtek. Vários botnets DDoS, como JenX e Satori, adotaram a mesma abordagem no passado.
“A botnet continua a se expandir, infectando uma ampla gama de dispositivos IoT em diversas arquiteturas e fabricantes”, disse Trellix. “Notavelmente, Masjesu parece evitar atingir organizações críticas sensíveis que possam desencadear atenção significativa legal ou policial, uma estratégia que provavelmente melhora a sua capacidade de sobrevivência a longo prazo”.
Chamado Masjesu, o botnet tem sido anunciado via Telegram como um serviço de aluguel de DDoS desde que surgiu pela primeira vez em 2023. É capaz de atingir uma ampla gama de dispositivos IoT, como roteadores e gateways, abrangendo várias arquiteturas.
"Construído para persistência e baixa visibilidade, Masjesu favorece a execução cuidadosa e discreta em vez de infecção generalizada, evitando deliberadamente intervalos de IP em listas de bloqueio, como aqueles pertencentes ao Departamento de Defesa (DoD), para garantir a sobrevivência a longo prazo", disse o pesquisador de segurança da Trellix, Mohideen Abdul Khader F, em um relatório de terça-feira.
É importante notar que a oferta comercial também atende pelo apelido de XorBot devido ao uso de criptografia baseada em XOR para ocultar strings, configurações e dados de carga útil. Foi documentado pela primeira vez pelo fornecedor de segurança chinês NSFOCUS em dezembro de 2023, vinculando-o a um operador chamado "synmaestro".
Descobriu-se que uma iteração subsequente da botnet observada um ano depois adicionou 12 explorações diferentes de injeção de comando e execução de código para direcionar roteadores, câmeras, DVRs e NVRs da D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron, e obter acesso inicial. Também foram adicionados novos módulos para conduzir ataques de inundação DDoS.
"Como uma família emergente de botnets, o XorBot está mostrando um forte impulso de crescimento, infiltrando-se e controlando continuamente novos dispositivos IoT", disse NSFOCUS em novembro de 2024. "Notavelmente, esses controladores estão cada vez mais inclinados a usar plataformas de mídia social, como o Telegram, como os principais canais de recrutamento e promoção, atraindo 'clientes' alvo por meio de atividades promocionais ativas iniciais, estabelecendo uma base sólida para a subsequente expansão e desenvolvimento do botnet."
As últimas descobertas da Trellix mostram que Masjesu comercializou a capacidade de realizar ataques DDoS volumétricos, enfatizando sua infraestrutura diversificada de botnets e sua adequação para atingir redes de entrega de conteúdo (CDNs), servidores de jogos e empresas. Os ataques realizados pela botnet originam-se principalmente do Vietnã, Ucrânia, Irã, Brasil, Quênia e Índia, sendo o Vietnã responsável por quase 50% do tráfego observado.
Depois de implantado em um dispositivo comprometido, o malware se move para criar e vincular um soquete com uma porta TCP codificada (55988) para permitir que o invasor se conecte diretamente. Se esta operação falhar, a cadeia de ataque será imediatamente eliminada.
Caso contrário, o malware configura a persistência, ignora os sinais relacionados ao encerramento, interrompe processos comumente usados, como wget e curl, possivelmente para interromper botnets concorrentes e, em seguida, se conecta a um servidor externo para receber comandos de ataque DDoS para executá-los contra alvos de interesse.
Masjesu também se orgulha de recursos de autopropagação, permitindo sondar endereços IP aleatórios em busca de portas abertas e inserir dispositivos comprometidos com sucesso em sua infraestrutura. Uma adição notável à lista de alvos de exploração são os roteadores Realtek, que são realizados por meio da verificação de 52869 – uma porta associada ao daemon miniigd do SDK da Realtek. Vários botnets DDoS, como JenX e Satori, adotaram a mesma abordagem no passado.
“A botnet continua a se expandir, infectando uma ampla gama de dispositivos IoT em diversas arquiteturas e fabricantes”, disse Trellix. “Notavelmente, Masjesu parece evitar atingir organizações críticas sensíveis que possam desencadear atenção significativa legal ou policial, uma estratégia que provavelmente melhora a sua capacidade de sobrevivência a longo prazo”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #masjesu #botnet #surge #como #serviço #ddos #de #aluguel #direcionado #a #dispositivos #globais #de #iot
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário