Table of Contents
A Persistência do Botnet Prometei: Uma Análise Acadêmica
Um botnet modular com 8 anos de existência, conhecido como Prometei, continua a se proliferar globalmente, espalhando um cryptojacker e uma Web shell em máquinas distribuídas por diversos continentes.
Histórico e Alcance Global
Descoberto pela primeira vez em 2020, há evidências que sugerem que o Prometei está ativo desde pelo menos 2016. Ao longo desses anos, a botnet se espalhou para mais de 10.000 computadores em locais tão variados quanto Brasil, Indonésia, Turquia e Alemanha, onde o Escritório Federal de Segurança da Informação classifica-o como uma ameaça de impacto médio.
“O Prometei tem um alcance global devido ao seu foco em vulnerabilidades de software amplamente utilizadas,” explica Callie Guenther, gerente sênior de pesquisa em ameaças cibernéticas na Critical Start.
De acordo com Guenther, essa botnet se espalha através de configurações fracas e sistemas não corrigidos, mirando regiões com práticas de segurança cibernética inadequadas. Botnets como o Prometei geralmente não discriminam por região, buscando um impacto máximo ao explorar fraquezas sistêmicas.
Características das Invasões do Prometei
A Trend Micro detalha o que um ataque do Prometei pode parecer: inicial, a infecção é algo rudimentar, mas logo se torna furtiva, capaz de explorar vulnerabilidades em diversos serviços e sistemas, focando no cryptojacking, mas também apta a realizar outras atividades maliciosas.
Uma Entrada Barulhenta em Sistemas Vulneráveis
A infecção inicial do Prometei não é um processo sofisticado. O caso observado pela Trend Micro começou com várias tentativas de login em rede mal-sucedidas provenientes de dois endereços IP, que pareciam originar-se da Cidade do Cabo, África do Sul, alinhando-se estreitamente com a infraestrutura conhecida do Prometei.
Após o primeiro login bem-sucedido, o malware começou a testar uma variedade de vulnerabilidades ultrapassadas que poderiam ainda existir no ambiente da vítima. Exemplificando, ele utiliza um bug de cinco anos chamado BlueKeep no Protocolo de Área de Trabalho Remota (RDP), avaliado como crítico no sistema de pontuação CVSS, para tentar conseguir uma execução remota de código (RCE). Além disso, utiliza a vulnerabilidade mais antiga EternalBlue para se propagar via Server Message Block (SMB).
Como Alvos Primários
Os alvos primários são sistemas que não foram ou não podem ser corrigidos, resultando em máquinas que estão frequentemente desatualizadas ou negligenciadas. Mayuresh Dani, gerente de pesquisa em segurança da Qualys, destaca que os autores do malware buscam presas fáceis em um mundo conectado.
O Poder do Prometei
Uma vez instalado, o Prometei utiliza um algoritmo de geração de domínios (DGA) para fortalecer sua infraestrutura de comando e controle (C2), permitindo que continue a operar mesmo se as vítimas tentarem bloquear um ou mais de seus domínios. Manipula sistemas-alvo para permitir que seu tráfego passe por firewalls e executa-se automaticamente após reinicializações do sistema.
Um comando particularmente útil do Prometei evoca o protocolo de autenticação WDigest, que armazena senhas em texto simples na memória. Embora geralmente desabilitado nos sistemas Windows modernos, o Prometei força a extração dessas senhas sem levantar suspeitas.
O propósito mais óbvio de uma infecção do Prometei parece ser o cryptojacking. Além disso, ele baixa e configura um servidor Apache que serve como uma Web shell persistente, permitindo que atacantes façam upload de arquivos maliciosos e executem comandos arbitrários.
Relações com a Rússia
Um aspecto intrigante do Prometei é que há uma parte do mundo que ele evita. O servidor C2 baseado em Tor é projetado para evitar nodos de saída em alguns países ex-soviéticos. Para garantir a segurança dos alvos de língua russa, contém um componente de roubo de credenciais que evita afetar contas rotuladas como “Convidado” ou “Outro usuário” em russo.
As versões anteriores do malware continham configurações de idioma russo, e o nome “Prometei” é uma tradução de “Prometheus” em várias línguas eslavas, remetendo à mitologia sobre a persistência em face da adversidade.
#Botnet, #SegurançaCibernética, #Prometei, #Cryptojacking, #Análise, #Malware, #TendênciasTecnológicas, #AmeaçasOnline, #Cibercrime