Setembro é esperado para ser um mês cheio de malwares. Já vimos vários Trojans bancários, alguns novos e alguns renovada, e uma forte onda de Crysis / Troldesh ransomware variantes. Contudo, isso está longe de tudo o que está acontecendo no horizonte malicioso no momento. Acabamos de escrever sobre um Botnet baseado no Twitter comprometendo dispositivos Android e eliminando malware bancário. Agora vamos nos concentrar no Linux.PNScan - um velho cavalo de Troia com uma versão aprimorada que atualmente tem como alvo roteadores executando firmware baseado em Linux na Índia.
A pesquisa indica que o Linux.PNScan apareceu pela primeira vez online em agosto 2015. Foi quando a empresa de segurança Dr.Web divulgou duas variantes do malware. Essas variantes foram detectadas posteriormente como alvos de roteadores em setembro.
Uma análise mais detalhada do malware Linux.PNScan
De acordo com pesquisa realizada pelo Dr.. Web e MalwareMustDie!, o malware é um binário ELF que visa especificamente roteadores no ARM, MIPs, ou arquiteturas PowerPC.
Em ataques anteriores, o malware foi implantado principalmente para ataques DDoS, apoiando ACK, SYN, e inundações de pacotes UDP. As versões anteriores do Linux.PNScan também tinham recursos semelhantes a worm, permitindo que eles se espalhem para outros roteadores baseados em firmware Linux.
- Linux.PNScan.1 foi implantado em ataques baseados em dicionário na tentativa de força bruta de outros dispositivos.
- Linux.PNScan.2 foi detectado apenas três nomes de usuário – combos de senha: root / root; admin / admin; e ubnt / ubnt.
O que há de novo nas versões posteriores do Linux.PNScan?
De acordo com MalwareMustDie!, o malware foi atualizado e agora é capaz de atacar roteadores Linux rodando em x86 (i86) arquitetura, o que é mais comum.
O pesquisador escreve que:
o malware […] é codificado para mirar [no] 183.83.0.0/16 segmento (localizado na área de rede da região de Telangana e Caxemira da Índia), onde foi apenas visto.
O pesquisador acredita que esses novos ataques são uma evolução do Linux.PNScan.2 porque ele continua a usar apenas três conjuntos de credenciais de administrador ao forçar outros roteadores de força bruta. Nenhum ataque de dicionário foi detectado.
Caso seu roteador tenha sido infectado, você pode se referir a isso artigo de remoção de malware de roteador para instruções.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: