Pesquisadores de segurança cibernética revelaram uma botnet furtiva projetada para ataques de negação de serviço distribuídos (DDoS).
Conhecida como Masjesu , a botnet tem sido anunciada via Telegram como um serviço de DDoS sob demanda desde que surgiu em 2023. Ela é capaz de atingir uma ampla gama de dispositivos IoT, como roteadores e gateways, abrangendo diversas arquiteturas.
“Construído para persistência e baixa visibilidade, o Masjesu prioriza a execução cuidadosa e discreta em vez da infecção generalizada, evitando deliberadamente faixas de IP bloqueadas, como as pertencentes ao Departamento de Defesa (DoD), para garantir a sobrevivência a longo prazo”, disse o pesquisador de segurança da Trellix, Mohideen Abdul Khader F, em um relatório divulgado na terça-feira.
Vale ressaltar que a oferta comercial também é conhecida pelo nome de XorBot, devido ao uso de criptografia baseada em XOR para ocultar strings, configurações e dados de carga útil. Foi documentada pela primeira vez pela empresa de segurança chinesa NSFOCUS em dezembro de 2023, que a associou a um operador chamado “synmaestro”.
Uma iteração subsequente da botnet, observada um ano depois, revelou a adição de 12 exploits diferentes de injeção de comandos e execução de código para atacar roteadores, câmeras, DVRs e NVRs das marcas D-Link, Eir, GPON, Huawei, Intelbras, MVPower, NETGEAR, TP-Link e Vacron, obtendo acesso inicial. Também foram adicionados novos módulos para realizar ataques DDoS de inundação.
“Como uma família de botnets emergente, a XorBot está demonstrando um forte ritmo de crescimento, infiltrando-se e controlando continuamente novos dispositivos IoT”, afirmou a NSFOCUS em novembro de 2024. “Notavelmente, esses controladores estão cada vez mais inclinados a usar plataformas de mídia social como o Telegram como os principais canais de recrutamento e promoção, atraindo ‘clientes’ por meio de atividades promocionais iniciais, estabelecendo uma base sólida para a subsequente expansão e desenvolvimento da botnet.”
As últimas descobertas da Trellix mostram que o grupo Masjesu tem promovido a capacidade de realizar ataques DDoS volumétricos, enfatizando sua infraestrutura diversificada de botnet e sua adequação para atingir redes de distribuição de conteúdo (CDNs), servidores de jogos e empresas. Os ataques realizados pela botnet têm origem principalmente no Vietnã, Ucrânia, Irã, Brasil, Quênia e Índia, sendo o Vietnã responsável por quase 50% do tráfego observado.
Uma vez implantado em um dispositivo comprometido, o malware cria e vincula um socket a uma porta TCP fixa (55988) para permitir que o invasor se conecte diretamente. Se essa operação falhar, a cadeia de ataque é interrompida imediatamente.
Caso contrário, o malware procede à configuração de persistência, ignora sinais relacionados ao término da conexão, interrompe processos comumente usados como wget e curl, possivelmente para desestabilizar botnets concorrentes, e então se conecta a um servidor externo para receber comandos de ataque DDoS para executá-los contra alvos de interesse.
Masjesu também se orgulha de sua capacidade de autopropagação, permitindo que ele sonde endereços IP aleatórios em busca de portas abertas e coopte dispositivos comprometidos para sua infraestrutura. Uma adição notável à lista de alvos de exploração são os roteadores Realtek, explorados por meio da varredura da porta 52869 – associada ao daemon miniigd do SDK da Realtek . Diversas botnets de DDoS, como JenX e Satori , já adotaram essa mesma abordagem no passado.
“A botnet continua a se expandir, infectando uma ampla gama de dispositivos IoT em diversas arquiteturas e fabricantes”, disse a Trellix. “Notavelmente, Masjesu parece evitar atacar organizações críticas sensíveis que poderiam atrair atenção significativa de órgãos legais ou policiais, uma estratégia que provavelmente melhora sua capacidade de sobrevivência a longo prazo.”
FONTE: THE HACKER NEWS
