Investigadores de segurança detetaram uma nova ameaça baseada no infame código Mirai, batizada de "ShadowV2", que está a visar ativamente dispositivos da Internet das Coisas (IoT) de fabricantes populares. A atividade desta botnet foi observada durante uma recente interrupção de serviço da AWS em outubro e, embora os eventos não estejam tecnicamente ligados, a coincidência temporal sugere que poderá ter sido um teste de capacidades.
Um arsenal de vulnerabilidades conhecidas
A ShadowV2 propaga-se aproveitando pelo menos oito vulnerabilidades de segurança (CVEs) em vários produtos. Entre as marcas afetadas encontram-se a D-Link e a TP-Link, além de equipamentos que utilizam firmware DD-WRT e produtos da DigiEver e TBK.
Um dos aspetos mais críticos desta campanha é a exploração da falha CVE-2024-10914, uma vulnerabilidade de injeção de comandos que afeta dispositivos D-Link em fim de vida (EoL). A fabricante já confirmou que não irá lançar correções para estes modelos, deixando os utilizadores expostos. Da mesma forma, a falha CVE-2024-10915, também em equipamentos D-Link, não será corrigida. Por outro lado, a vulnerabilidade CVE-2024-53375 nos equipamentos TP-Link terá sido resolvida através de uma atualização de firmware beta.
Alcance global e capacidades de ataque
O malware identifica-se como "ShadowV2 Build v1.0.0 IoT version" e partilha semelhanças técnicas com a variante "Mirai LZRD". O processo de infeção inicia-se através de um script que descarrega o código malicioso de um servidor remoto. Uma vez comprometidos, os dispositivos passam a fazer parte de uma rede capaz de lançar ataques de negação de serviço distribuído (DDoS) através dos protocolos UDP, TCP e HTTP.
O impacto desta campanha foi global, atingindo a América do Norte e do Sul, Europa, África, Ásia e Austrália. Os alvos incluíram routers, dispositivos de armazenamento em rede (NAS) e gravadores de vídeo digital (DVRs) em setores como o governo, tecnologia, telecomunicações e educação.
Embora as botnets sejam frequentemente utilizadas para gerar lucro através do aluguer do seu poder de fogo a cibercriminosos ou através de extorsão direta, ainda não se sabe quem opera a ShadowV2 nem qual a sua estratégia de monetização específica, conforme detalhado no relatório da Fortinet.
Nenhum comentário
Seja o primeiro!