
Uma nova variante da botnet Gafgyt, batizada de C0XMO, está a comprometer o firmware de routers DD-WRT. Esta ameaça modular possui a capacidade de se propagar para múltiplos tipos de dispositivos, suportando diversas arquiteturas de processadores. A descoberta foi realizada por investigadores da Fortinet, conforme revelado pelo BleepingComputer.
A análise demonstrou que o C0XMO afeta arquiteturas como ARM, MIPS, PowerPC, SuperH, x86 e x86_64. O seu alvo não se limita a routers, abrangendo também sistemas de gravação de vídeo digital, plataformas de gestão de imagem e equipamentos baseados em sistema operativo Android.
Propagação e métodos de ataque
Fundamentalmente, o C0XMO atua como um malware destinado ao lançamento de ataques distribuídos de negação de serviço. Suporta 19 métodos distintos de ataque, incluindo inundações de tráfego UDP, TCP, SYN e ICMP, bem como ataques direcionados a canais de voz no Discord e plataformas da Valve.
A ameaça entra nos sistemas explorando a vulnerabilidade CVE-2021-27137. Trata-se de uma falha de transbordo de memória causada por validação insuficiente de dados inseridos pelo utilizador, que permite a execução de código arbitrário sem exigir qualquer tipo de autenticação.
Após a infiltração inicial, o sistema descarrega um script em linguagem Python para reforçar a sua capacidade de exploração. Este script instala pacotes adicionais para comunicar com a rede e examinar portas comuns, como as associadas aos protocolos SSH, Telnet e HTTP. Quando um novo alvo é encontrado, o código tenta adivinhar palavras-passe fracas para ganhar acesso e continuar a sua expansão lateral na rede.
Eliminação de ameaças rivais
Uma das características que destaca o C0XMO é a sua capacidade de procurar e eliminar outros processos maliciosos que possam estar a correr no mesmo equipamento. A ameaça analisa a lista de tarefas ativas para encontrar clientes de outras botnets, bem como ferramentas de diagnóstico de rede que possam interferir com o seu funcionamento.
Ao encontrar processos concorrentes, elimina os respetivos ficheiros binários e apaga qualquer mecanismo de persistência, como tarefas agendadas no sistema ou serviços de arranque. Em simultâneo, assegura a sua própria sobrevivência ao copiar-se para pastas ocultas e criando tarefas recorrentes para garantir que é executado a cada 15 minutos.
A comunicação com os servidores de comando e controlo é feita através de uma ligação complexa com múltiplas etapas de verificação. Os investigadores da Fortinet descrevem o C0XMO como um sistema com um nível de complexidade muito superior aos habituais ataques associados ao ecossistema Gafgyt, recomendando a atualização constante dos equipamentos e a desativação de acessos remotos desnecessários para mitigar o perigo.












Nenhum comentário
Seja o primeiro!