Table of Contents
Introdução ao Gorillabot: Uma Nova Família de Malware Botnet
Pesquisadores em segurança cibernética descobriram uma nova família de malware botnet chamada Gorilla (também conhecida como GorillaBot), que é uma variante do código-fonte da botnet Mirai. O surgimento deste malware traz à tona preocupações significativas sobre a segurança digital contemporânea e destaca a evolução contínua das ameaças no ciberespaço.
Atividade da Botnet e Escopo das Ameaças
A empresa de segurança cibernética NSFOCUS identificou a atividade da GorillaBot no mês passado, relatando que a botnet “emitiu mais de 300.000 comandos de ataque, com uma densidade de ataque impressionante” entre os dias 4 e 27 de setembro de 2024. Em média, foram emitidos não menos que 20.000 comandos destinados a realizar ataques de negação de serviço distribuído (DDoS) diariamente.
Alvos e Impacto Global
A botnet é conhecida por ter como alvo mais de 100 países, atacando diversos setores, incluindo:
- Universidades
- Sites governamentais
- Telecomunicações
- Bancos
- Setores de jogos e apostas
Os países mais atacados incluem China, Estados Unidos, Canadá e Alemanha.
Métodos de Ataque Utilizados pela GorillaBot
O relatório da NSFOCUS revela que a GorillaBot utiliza principalmente os seguintes métodos de ataque para realizar DDoS:
A natureza connectionless do protocolo UDP permite a falsificação arbitrária do IP de origem, o que resulta na geração de grandes quantidades de tráfego indesejado.
Capacidades Técnicas da GorillaBot
Além de suportar múltiplas arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, a botnet também possui a habilidade de se conectar a um dos cinco servidores de comando-e-controle (C2) pré-definidos para aguardar comandos de DDoS.
Exploits Integrados e Persistência no Host
Um aspecto intrigante do malware é sua capacidade de explorar uma falha de segurança no Apache Hadoop YARN RPC para obter execução de código remoto. De acordo com relatos, essa vulnerabilidade já foi abusada na natureza desde 2021.
A persistência no host é assegurada por meio da criação de um arquivo de serviço nomeado custom.service no diretório /etc/systemd/system/, configurando-o para ser executado automaticamente sempre que o sistema é iniciado. O serviço é responsável por baixar e executar um script shell chamado lol.sh de um servidor remoto.
Comandos de Inicialização e Controle de Longo Prazo
Comandos semelhantes também são adicionados a arquivos como /etc/inittab, /etc/profile e /boot/bootcmd para garantir que o script shell seja baixado e executado na inicialização do sistema ou no login do usuário.
“Foi introduzido vários métodos de ataque DDoS e utilizados algoritmos de criptografia comumente empregados pelo grupo Keksec para ocultar informações-chave, além de empregar múltiplas técnicas para manter o controle de longo prazo sobre dispositivos IoT e servidores em nuvem, demonstrando um alto nível de consciência contra detecção como uma nova família de botnet,” disse a NSFOCUS.
#Gorillabot, #Malware, #SegurançaCibernética, #Botnet, #DDoS, #ThreatHunting, #Cibersegurança
autor ref: The Hacker News
ref:https://thehackernews.com/2024/10/new-gorilla-botnet-launches-over-300000.html