O botnet Chalubo é um malware descoberto recentemente que tem sido encontrado para conter recursos avançados de outras ameaças ea ser usada para DoS (negação de serviço) campanhas de ataque. No momento em que vários ataques foram avistados. Nosso artigo oferece uma visão geral de como o malware funciona.
O Chalubo Botnet é uma formidável arma DoS
Um novo malware perigoso chamado de botnet Chalubo foi descoberto por uma equipe de pesquisadores de segurança. Descobriu-se que várias iterações dele causam infecções. As primeiras versões vinculadas a ele foram observadas em agosto, quando três componentes maliciosos foram usados em um ataque contra máquinas x86. Isso é atribuído a um ataque de teste inicial, que é provavelmente uma maneira dos operadores ajustar e ajustar o botnet.
o Conta-gotas elknot foi usado posteriormente para fornecer uma versão mais completa do malware. As amostras capturadas indicam que existem várias variantes disponíveis - existem versões especializadas para cada arquitetura. Isso o torna muito eficaz contra servidores e dispositivos IoT.
Em setembro, uma mudança nas táticas de infecção foi observada. Em vez do conta-gotas, o componente malicioso dependia ataques de força bruta contra serviços de desktop remoto. Os hackers carregaram o script de infecção com as credenciais padrão e muitas vezes usaram combinações de nome de usuário e senha. Versões atualizadas do botnet Chalubo apresentavam código anti-análise avançado que os protegia de serem descobertos por administradores e software de segurança. Isso é feito lançando um script codificado que executa as seguintes operações:
- Firewall Bypass
- Instalação do “wget” baixe o utilitário se não estiver presente.
- Download de um script de segundo estágio
- Modificação do sistema
- Remoção de arquivos de log
O que se segue é a implantação real do bot. Quando iniciado, ele se conectará a um servidor específico controlado por hacker e relatará a infecção bem-sucedida. As instruções do hacker observadas foram para baixar outros módulos, dependendo da configuração da máquina individual. Até agora, parece que o botnet Chalubo é usado para realizar todos os ataques DoS básicos - DNS, UDP e SYN floods contra um determinado alvo. Prevemos que os ataques e outras atualizações em sua base de código continuarão. Como o botnet é baseado em scripts e código-fonte publicamente disponível, existe a possibilidade de que seja vendido ou negociado nos mercados de hackers clandestinos. Como tais versões descendentes podem incluir módulos mais perigosos.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: