Há um novo Trojan Linux, apelidado de Linux / NyaDrop, e já possui engenharia reversa por MalwareMustDie. Este é de fato o mesmo pesquisador que descobriu Mirai. O botnet Mirai IoT foi usado em vários ataques e teve uma taxa de infecção global. O aparecimento de um novo malware Linux pode ser explicado pelo fato de que o código-fonte do Mirai vazou não muito tempo atrás.
Mais sobre Linux / NyaDrop
A pesquisa do MalwareMustDie indica que o Linux / NyaDrop foi usado em ataques de força bruta em portas Telnet, Relatórios Softpedia. Inicialmente, o malware era bastante simplista, mas seu código progrediu desde os ataques DDoS em KrebsOnSecurity. O operador de malware(s) deve ter sido atraído pelo sucesso do botnet Mirai IoT.
Semelhante ao malware IoT médio, Ataques NyaDrop são baseados em dispositivos IoT conectados à Internet de força bruta por meio de suas credenciais padrão.
Detalhes técnicos
O cavalo de Tróia é muito pequeno em tamanho porque é um conta-gotas. Um conta-gotas é um malware implantado apenas para baixar outro malware em um sistema. Esta é talvez a primeira vez que os pesquisadores encontram malware de IoT que usa um conta-gotas. Droppers são uma prática comum para malware de desktop e são uma parte típica do ataque de malware comum.
Por que NyaDrop? O nome vem do malware real que pode ser eliminado - um binário ELF apelidado de “nya”.
Quanto a uma infecção de malware bem-sucedida, o pesquisador dá a seguinte explicação:
O arquivo de malware instalado com sucesso no sistema MIPS é o backdoor e conta-gotas do malware Linux, Eu chamo isso de malware ELF Linux / NyaDrop, com a função de abrir uma tomada de internet(AF_INET) para se conectar remotamente ao host remoto para receber dados de qualquer fluxo executável do Linux destinado a infectar a máquina previamente comprometida com Linux / NyaDrop.
Quando a infecção é bem sucedida, O NyaDrop abrirá um backdoor e fará o download do cavalo de Tróia Nya, mas apenas se o dispositivo IoT usar uma arquitetura MIPS de 32 bits para sua CPU. CPUs baseadas em MIPS são típicas para dispositivos como roteadores, DVRs, câmeras de CCTV, sistemas embarcados em geral.
A pior parte é que as versões ainda a serem lançadas do NyaDrop podem ser implantadas em uma variedade de cenários maliciosos. Para um, novas cargas podem ser baixadas nos dispositivos infectados. O novo malware pode ser usado para iniciar ataques DDoS ou como proxies para o tráfego da web, ocultando assim a localização real do atacante.
Todos esses “truques” empregados pelo criador do NyaDrop revelam uma agenda bem pensada. O hacker está fazendo de tudo para não ser pego. além do que, além do mais, O NyaDrop pode até detectar ambientes honeypot. A execução do malware será interrompida se tal ambiente for detectado. O autor do malware também cuidou da maneira como o NyaDrop se espalha. É por isso que MalwareMustDie diz que tem sorte de ter “adquirido” uma amostra para fins de engenharia reversa.
Mais detalhes técnicos
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: