Especialistas em segurança de computadores relataram a descoberta de uma nova ameaça de malware chamada JenX Botnet, que usa táticas de distribuição altamente incomuns. Em vez de confiar em mensagens de e-mail padrão, ele abusa de um dos videogames mais populares - Grand Theft Auto e dispositivos IoT.
JenX Botnet Discovery e táticas de infiltração
Uma nova infecção mundial por botnet foi relatada pela comunidade de segurança. A nova ameaça é chamada de botnet JenX e apresenta um mecanismo de infiltração altamente incomum. De acordo com a análise de código, tira proveito de várias vulnerabilidades que afetam certos modelos de roteadores populares feitos por Huawei e Realtek. Eles estão entre os maiores fabricantes de equipamentos de rede e esses modelos são geralmente comprados por provedores de serviços de Internet (ISPs) e distribuído aos clientes. Isso significa que potencialmente milhares ou mesmo milhões de computadores podem ser vítimas do teste de penetração automatizado. As duas vulnerabilidades são rastreadas nos seguintes avisos de segurança:
- CVE-2014-8361 - O serviço miniigd SOAP no Realtek SDK permite que invasores remotos executem código arbitrário por meio de uma solicitação NewInternalClient criada.
- CVE-2017-17215 - Vulnerabilidade de execução remota de código Huawei HG532 CVE-2017-17215.
É interessante notar que ambas as fraquezas são retiradas do Botnet Satori. Os snippets foram identificados em postagens públicas feitas pelo hacker conhecido pelo pseudônimo “Janit0r” quem é o autor do BrickerBot. De acordo com a pesquisa, o botnet é projetado especificamente contra provedores de jogos, clubes e jogadores.
O código de malware se infiltra em servidores que ativam os jogos e, como resultado, infectam também as máquinas clientes. O link feito com o jogo Grand Theft Auto se deve ao fato de que servidores comprometidos que hospedam o botnet JenX hospedam o jogo. Essas táticas são particularmente eficazes contra alvos, pois os servidores de jogos são conhecidos por seu desempenho e conectividade de rede.
Esta é uma atualização de acompanhamento de botnets de base como Mirai. Sua estratégia de intrusão era confiar em credenciais padrão que são sondadas para acesso. Depois que o malware compromete o dispositivo de destino, ele pode alterar as credenciais da conta e negar o acesso aos proprietários. Os botnets de segunda geração, como o Satori, dependem de vulnerabilidades de firmware e, como resultado, são muito mais eficazes contra alvos em potencial. A maioria dos dispositivos IoT nunca recebe atualizações críticas de segurança devido à falta de suporte de software ou negligência do proprietário. As explorações podem ser facilmente acionadas usando plataformas automatizadas, o que torna mais fácil até mesmo para usuários iniciantes utilizá-las em seus esquemas de ataque.
O Botnet JenX e a conexão de servidores de jogos
Uma das razões propostas pelas quais o malware tem como alvo os servidores de jogos é o fato de que eles são freqüentemente alugados para grupos inteiros ou usados em torneios. Uma vez que o código do malware infectou o próprio servidor, ele pode ser usado para espalhar vírus para os clientes conectados através dos próprios videogames. Normalmente eles integram em si opções de chat que podem ser abusadas.
Usando táticas de engenharia social, os criminosos podem optar por entregar malware adicional por meio de links postados no software de bate-papo. Eles podem ser disfarçados como mensagens de serviço, como links de redefinição de senha, notificações e etc..
Em outros casos, as vítimas podem ser redirecionadas para sites de malware que incluem elementos de phishing. Em vez de entregar arquivos executáveis, os criminosos tentam confundir os usuários, levando-os a inserir suas credenciais de conta em sites de impostores. Os criminosos costumam pegar os elementos gráficos e de texto de serviços da web e redes sociais que estão entre os sites mais visitados. Nos últimos anos, esse tipo de golpe se tornou tão avançado que às vezes é difícil distinguir o falso do serviço legítimo. Os criminosos não apenas impõem quase a mesma identidade visual, mas também assinar os certificados de segurança e estabelecer uma conexão segura com credenciais que se assemelham às reais reais.
Recursos de infecção de botnet JenX
Os pesquisadores observam que o botnet é particularmente perigoso, pois integra um avançado módulo de proteção furtiva que visa ocultar a ameaça do software de segurança e análise. Essas técnicas também são agrupadas em amostras avançadas de ransomware, onde o mecanismo de infecção procura por qualquer sandbox ou ambientes de depuração, máquinas virtuais e produtos antivírus. Eles podem ser desativados ou removidos. Os vírus também podem ser instruídos a se auto-excluirem se não conseguirem ignorar a proteção de segurança. Essas etapas também podem ser integradas ao botnet JenX por meio de comandos de script. Os hackers distribuíram cópias do JenX compatível com MIPS, ARM e X86, que são as plataformas mais populares.
Os operadores de hackers procuram se infiltrar silenciosamente em servidores comerciais e privados. É interessante notar que o amplo apoio do público parece ser um fator importante a considerar. A comunidade criminosa por trás dos ataques parece utilizar um servidor centralizado que atua como a principal plataforma de malware. Os especialistas carregam as vulnerabilidades junto com outros scripts personalizados para executar os estágios de acompanhamento de infecções.
Os sites infiltrados oferecem acesso a servidores modificados do Grand Theft Auto San Andreas pelo preço de $16, Os servidores TeamSpeak são vendidos por $9. Se os hackers pagarem $20 mais eles podem utilizar os servidores comprometidos para ataques de DDOS controlados contra alvos únicos. Os relatórios indicam que a rede de pico completa pode ser 290 ou 300 Gbps. No momento, o impacto causado pelo botnet JenX está relacionado a uma pequena interrupção entre os jogadores locais. Pode ser usado para sabotar torneios do Grand Theft Auto e jogos em grupo.
Os especialistas observam que se os servidores centralizados puderem ser desativados, toda a plataforma poderá falhar. Presume-se que a ameaça pode ser atualizada em versões futuras para utilizar uma abordagem descentralizada. Descobriu-se que infecções recentes apresentam uma abordagem P2P que é mais difícil de mitigar.
Recomendamos que todos os usuários examinem seus sistemas em busca de infecções ativas e se protejam contra ameaças de entrada usando uma solução anti-spyware de qualidade.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: