Geral 2min de Leitura - 09 de outubro de 2020

Cibercriminosos visam dispositivos IoT com novo Botnet HEH

Computadores conectados um ao outro simulando a botnet HEH.

This post is also available in: Português

Pesquisadores de segurança digital descobriram o botnet HEH, que sequestra dispositivos inteligentes conectados à Internet – como roteadores, servidores e dispositivos IoT – para realizar tarefas maliciosas, principalmente ataques DDoS e mineração de criptomoedas.

O botnet, que ganhou o nome de HEH Botnet, foi descoberto pela equipe de segurança Netlab da Qihoo 360. Ele se espalha lançando ataques de força bruta contra qualquer sistema conectado à internet que tenha suas portas SSH (23 e 2323) expostas online.

Segundo os pesquisadores, as amostras de botnet HEH descobertas até o momento suportam uma ampla variedade de arquiteturas de CPU, incluindo x86 (32/64), ARM (32/64), MIPS (MIPS32/MIPS-II) e PowerPC (PPC).

Apesar de estar em fase inicial de desenvolvimento, o botnet vem com três módulos funcionais: um módulo de propagação, um módulo de serviço HTTP local e um módulo P2P.

Assim que baixado e executado por um script Shell malicioso denominado “wpqnbw.txt”, o HEH usa o script para baixar programas nocivos para todas as arquiteturas de CPU diferentes de um site (“pomf.cat”), antes de encerrar uma série de processos de serviço com base em seus números de porta.

Gráfico explicando passos da botnet

Fonte: Netlab, 2020.

Já a segunda fase inicia com o HEH executando um servidor HTTP que exibe a Declaração Universal dos Direitos Humanos em oito idiomas diferentes e, posteriormente, inicializando um módulo P2P que rastreia os pares infectados e permite que o invasor execute comandos de Shell arbitrários, incluindo a capacidade para limpar todos os dados do dispositivo comprometido, disparando um comando de autodestruição.

Captura de tela de lista de arquivos

Fonte: Netlab,2020.

É possível reiniciar um bot com outros comandos, atualizar a lista de pares e sair do bot em execução, embora um comando de ataque ainda não tenha sido implementado pelos autores do malware.

Segundo pesquisadores:

“Depois que o bot executar o módulo P2P, ele executará a tarefa de força bruta contra o serviço Telnet para as duas portas 23 e 2323 de maneira paralela e, em seguida, concluirá sua própria propagação”.

Ou seja, se o serviço Telnet for aberto na porta 23 ou 2323, ele tentará um ataque de força bruta usando um dicionário de senha que consiste em 171 nomes de usuários e 504 senhas.

Se a invasão for bem sucedida, a vítima recém-infectada é adicionada ao botnet, amplificando-o.

Os pesquisadores ainda disseram que o mecanismo operacional deste botnet não está maduro e algumas funções importantes, como o módulo de ataque, ainda não foram implementadas.

A nova estrutura P2P em desenvolvimento, o suporte à arquitetura de múltiplas CPUs e o recurso de autodestruição embutido, tornam o botnet potencialmente perigoso.

Via: Netlab.

This post is also available in: Português