Novo botnet HEH limpa dispositivos potencialmente emparedando-os

Views: 38
0 0
Read Time:2 Minute, 21 Second

Uma nova botnet, rastreada como HEH, descobriu que a botnet implementa um recurso de limpeza de disco que permite que ele limpe todos os dados dos sistemas infectados.

Pesquisadores da Netlab, a divisão de segurança de rede da gigante tecnológica chinesa Qihoo 360, descobriram uma nova botnet, rastreada como HEH, que contém o código para limpar todos os dados de sistemas infectados, como roteadores, dispositivos IoT e servidores.

Os especialistas notaram que o malware suporta várias arquiteturas de CPU, incluindo x86(32/64), ARM(32/64), MIPS (MIPS32/MIPS-III) e PPC, está escrito na linguagemde programação de código aberto Go.

A botnet tem como alvo sistemas com portas SSH (23 e 2323) expostas on-line lançando ataques de força bruta.

O nome vem para o projeto dentro da amostra, as amostras familiares analisadas pelos especialistas foram construídas pelo autor no ambiente WSL na plataforma Windows.

Ao ter acesso ao dispositivo, o bot baixa um dos sete binários que instalam o malware HEH.

A análise do HEH Bot revelou que ele contém três módulos funcionais: módulo de propagação, módulo de serviço HTTP local e módulo P2P.

Especialistas apontaram que o bot não contém nenhum recursos ofensivos, como a capacidade de lançar ataques DDoS ou minerar criptomoedas, uma circunstância que sugere que o malware está em desenvolvimento.

“Atualmente, as funções mais úteis para toda a Botnet são executar comandos Shell, atualizar Lista de Pares e UpdateBotFile. A função Attack no código é apenas uma função vazia reservada e não foi implementada. Pode-se ver que o Botnet ainda está em fase de desenvolvimento. Vamos ver o que o autor vem com o recurso Attack.”  a análise publicada pelos pesquisadores.

A função para analisar o Bot Cmd no Bot é main.executeCommand(), o recurso mais notável notado pelos especialistas relacionado a um cmd com código número 8. Quando o bot receber este comando, ele tentará eliminar o conteúdo dos discos através de uma série de comandos Shell.

HEH botnet wiping feature

O malware é capaz de limpar o conteúdo de roteadores domésticos, dispositivos inteligentes de Internet das Coisas (IoT) e servidores Linux.

Mesmo que a botnet ainda esteja se espalhando, especialistas notaram que ela também tem outros grandes problemas em sua implementação, por exemplo, a implementação do P2P ainda tem falhas. Especialistas notaram que o Bot mantém uma Lista de Pares internamente, e há uma comunicação contínua de Ping<-gt;Pong entre pares, mas a botnet geral ainda funciona com um modelo centralizado. Na versão atual, cada nó não pode enviar comando de controle para seus pares.

“Dito isso, a nova e em desenvolvimento estrutura P2P, o suporte múltiplo de arquitetura de CPU, o recurso de autodestruição incorporado, todos tornam essa botnet potencialmente perigosa”, conclui o post.

FONTE: SECURITY AFFAIRS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *