Uma botnet que se espalha principalmente por meio de vulnerabilidades de IoT e aplicativos da web adicionou novas explorações e recursos de ataque, alerta a Microsoft. Denominada Zerobot — também conhecido como ZeroStresser — é uma botnet desenvolvida em linguagem Go, vendida no submundo do cibercrime no modelo de malware como serviço (MaaS, na sigla em inglês), o que torna relativamente fácil para seus desenvolvedores atualizar funcionalidade regularmente.
Usada principalmente para ataques distribuídos de negação de serviço (DDoS), a botnet é composta por dispositivos conectados comprometidos, como firewalls, roteadores e câmeras, de acordo com um novo blog da equipe de inteligência em ameaças de segurança da Microsoft.
A gigante da tecnologia observou recentemente a Zerobot explorando vulnerabilidades nos servidores de código aberto Apache (CVE-2021-42013) e Apache Spark (CVE-2022-33891) para comprometer esses dispositivos. Isso além dos dispositivos de força bruta protegidos apenas por padrão ou credenciais fracas.
“Ao obter acesso ao dispositivo, a Zerobot injeta uma carga maliciosa, que pode ser um script genérico chamado zero.sh que baixa e tenta executar a botnet, ou um script que baixa o binário da Zerobot de uma arquitetura específica”, explicou a Microsoft.
“O script bash que tenta baixar diferentes binários da Zerobot tenta identificar a arquitetura por força bruta, tentando baixar e executar binários de várias arquiteturas até conseguir, pois os dispositivos IoT são baseados em muitas unidades de processamento de computador (CPUs).”
Para obter persistência em dispositivos Linux, a botnet usa uma combinação de entrada de desktop, daemon e métodos de serviço, enquanto no Windows ele se copia para a pasta de inicialização com o nome de arquivo “FireWall.exe”, acrescentou a Microsoft.
A Zerobot 1.1 também possui sete novos recursos de ataque DDoS projetados para tornar a botnet uma perspectiva mais atraente para possíveis compradores. “Em quase todos os ataques, a porta de destino é personalizável e os agentes de ameaças que compram o malware podem modificar o ataque de acordo com seu alvo”, explicou a fabricante de software.
LEIA TAMBÉM: