Analistas de segurança descobriram um novo botnet perigoso baseado em Mirai que é usado em uma campanha de ataque mundial. Chama-se Masuta e já impactou muitos dispositivos, no momento, acredita-se que um hacker experiente está por trás de suas operações.
O botnet Masuta é um herdeiro digno de Mirai
Uma nova ameaça mundial da Internet foi detectada em uma campanha de ataque em grande escala. O mais novo vírus de computador que fez com que os administradores de segurança revisassem seus dispositivos. É o chamado Masuta Botnet e é construído sobre as fundações de Mirai. Seu nome significa “mestre” em japonês e seu código-fonte foi encontrado em um dos fóruns de hackers clandestinos. Os especialistas conseguiram acessar seu arquivo de configuração e alguns dos componentes importantes que fazem parte do mecanismo de malware. A análise completa revela que ele usa uma versão modificada do botnet Mirai que alterou a cifra usada para iniciar os ataques.
Os especialistas utilizam um domínio chamado Nexuis IoT Solutions, que é usado como o principal comando e controle (C&C) em alguns dos ataques. É registrado usando um endereço de e-mail hospedado no Gmail. Os especialistas propõem que é possível que a Masuta seja operada por Nexus Zeta, também responsável pelo Botnet Satori. Os relatórios indicam que, embora Masuta não seja uma ameaça inteiramente nova, tendo sido baseada em um código mais antigo, seus ataques estão aumentando constantemente e podem ter consequências terríveis sobre as vítimas. Como seu predecessor, ele tenta comprometer a IoT descoberta tentando acessar por meio de credenciais padrão ou fracas.
Masuta BotNet Tactics: A ameaça da IoT
O botnet Masuta é eficaz contra dispositivos IoT de todos os tipos. No momento, existem duas variantes identificadas pelos especialistas:
- Masuta Botnet - Ele usa as mesmas técnicas do Mirai, tentando superar a segurança dos dispositivos IoT de destino usando uma lista integrada de senhas comuns e credenciais padrão.
- PureMasuta - Esta é uma versão aprimorada que apresenta um exploit embutido contra o EDB 38722 Dispositivo D-Link.
A exploração contida no PureMasuta depende de uma vulnerabilidade no HNAP (Protocolo de Administração de Rede Doméstica) protocolo. Ao usar o código contido, ele pode criar uma mensagem de consulta especial que é capaz de contornar o mecanismo de autenticação de segurança. Como resultado, os criminosos podem executar códigos arbitrários nos dispositivos alvo.
O botnet Masuta está configurado para baixar e executar um script do C&servidor C. Durante a análise de segurança, foi descoberto que o malware é capaz de implementar outras explorações semelhantes, como CVE-2014-8361 e CVE-2017–17215 eficaz contra uma ampla gama de dispositivos de rede.
Os especialistas em segurança observam que os exploits de protocolo usados permitem praticamente que os operadores de hackers acessem as máquinas comprometidas e as manipulem de acordo com seus planos. Em comparação com ataques simples, esse tipo de ataque permite que os hackers assumam diretamente o controle das máquinas. Como consequência, outras ações de malware são possíveis, incluindo os seguintes cenários:
- Trojan Instância - Na prática, o código embutido pode ser usado para lançar um vírus Trojan nos dispositivos IoT de destino. Esse malware permite que os operadores de hackers espionem a atividade do dispositivo em tempo real, bem como assumir o controle das máquinas a qualquer momento.
- Redirecionamento de tráfego - Se os hosts comprometidos forem equipamentos de gateway de rede (como roteadores e switches) os hackers podem retransmitir o tráfego por meio do servidor operado por hackers. Essas ações são usadas para instituir homem no meio ataques.
- Entrega Malware - Uma vez que a rede foi violada, o dispositivo comprometido pode ser usado para entregar vários tipos de vírus aos outros hosts conectados.
Para se protegerem de infecções de botnet Masuta, todos os usuários de computador devem atualizar seus dispositivos IoT para a versão mais recente disponível e monitorar o boletim de segurança de seu fornecedor para os próximos patches.
Os usuários de computador devem estar sempre alertas para infecções por malware. Uma varredura gratuita pode revelar tais ocorrências e permitir uma remoção simples.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: