Seu roteador D-Link ou TP-Link pode ter virado um zumbi nas mãos deste malware

Um novo malware que monta botnets, baseado em Mirai e chamado de ShadowV2, foi observado atacando aparelhos da D-Link, TP-Link e outras marcas conhecidas por ter vulnerabilidades exploradas. Pesquisadores do FortiGuard Labs, da Fortinet, notaram a atividade durante a queda da AWS em outubro.

• O que é uma botnet?
• O que é uma vulnerabilidade de dia zero (Zero-Day)?

Embora os dois incidentes não estejam conectados (ou seja, a queda não teve envolvimento direto dos criminosos virtuais), há indícios de que os hackers aproveitaram a ocasião para testar a rede maliciosa.

Botnets, malwares e ataques DDoS

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo os pesquisadores de segurança, o ShadowV2 se espalha através de pelo menos oito vulnerabilidades em diversos equipamentos de internet das coisas (IoT), sendo elas nos produtos:

• DD-WRT (CVE-2009-2765);
• D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915);
• DigiEver (CVE-2023-52163);
• TBK (CVE-2024-3721);
• TP-Link (CVE-2024-53375).

Uma das falhas, a CVE-2024-10914, é conhecida por ser usada para injetar comandos em aparelhos D-Link end-of-life (ou seja, já em posse de clientes), mas, apesar disso, a empresa afirmou que não corrigirá o problema. A CVE-2024-10915, reportada pela empresa NetSecFish em novembro do ano passado, também não está nos planos de ser mitigada pela companhia.

Em um anúncio de segurança de novembro de 2024, a D-Link comentou sobre a vulnerabilidade e trouxe detalhes sobre a campanha ShadowV2 em outro comunicado, avisando usuários de produtos end-of-life e end-of-support (que já não terão mais atualizações) que eles não receberão mais atualizações de firmware e já não estão mais em desenvolvimento.

Segundo a Fortiguard Labs, os ataques ShadowV2 vieram do endereço 198[.]199[.]72[.]27 e miraram em roteadores, dispositivos NAS e DVRs de sete setores diferentes, como governos, indústria, provedores de segurança, telecomunicações, educação e tecnologia. Os setores afetados vão da América do Sul e do Norte a África, Ásia, Europa e Austrália.

A variante do malware é semelhante à Mirai LZRD, e acessa aparelhos com um script de download (binary.sh) que busca um arquivo no endereço 81[.]88[.]18[.]108. É usada a configuração de codificação XOR para caminhos filesystem, strings User-Agent, headers de HTTP e strings no estilo Mirai.

Com isso, os hackers realizam ataques DDoS em protocolos UDP, TCP e HTTP, com gatilhos comandados por servidores de comando e controle (C2). Botnets de DDoS costumam fazer dinheiro ao alugar seu poder de fogo para cibercriminosos ou extorquindo vítimas diretamente, mas o modus operandi do grupo responsável pelo ShadowV2 ainda é desconhecido.

Veja mais:

• Ataque HashJack faz navegadores de IA roubarem dados com truque simples
• Agência dos EUA alerta para risco de espionagem no WhatsApp e outros mensageiros
• Falsa atualização do Windows esconde malware ClickFix em imagens

VÍDEO | BOT ENGANA GOLPISTAS! | Maravilhas da Tecnologia | #shorts

Fonte: Fortinet, NetSecFish