Nova variante do malware InterPlanetary Storm visa dispositivos IoT. Os dispositivos infectados abrem backdoors para criptomineração, DDoS e outros ataques em larga escala.
A organização cibercriminosa por trás do malware InterPlanetary Storm lançou uma nova variante que agora visa dispositivos Mac e Android, além de computadores Windows e Linux. O malware cria uma botnet que atualmente inclui cerca de 13.500 computadores infectados em 84 países diferentes ao redor do mundo, e esse número continua crescendo.
Depois do Windows e do Linux, agora os dispositivos IoT
A primeira variante do InterPlanetary Storm voltada para máquinas Windows foi descoberta em maio de 2019, e uma variante capaz de atacar máquinas Linux foi relatada em junho deste ano. A nova variante, descoberta pela primeira vez por pesquisadores da Barracuda no final de agosto, visa dispositivos IoT, como TVs com sistemas operacionais Android, bem como máquinas baseadas em Linux, como roteadores com serviço SSH mal configurado. Embora o botnet que cria esse malware ainda não tenha uma funcionalidade clara, ele fornece aos operadores de campanha um backdoor nos dispositivos infectados para que possam ser usados posteriormente para criptomineração, DDoS ou outros ataques em larga escala.
A maioria dos computadores infectados pelo malware está atualmente localizada na Ásia.
• 59% dos computadores infectados estão localizados em Hong Kong, Coreia do Sul e Taiwan.
• 8% na Rússia e Ucrânia
• 6% no Brasil
• 5% nos Estados Unidos e Canadá
• 3% na Suécia
• 3% na China
• Todos os outros países registram 1% ou menos (Alemanha atualmente 0,5%)
Como funciona o novo malware InterPlanetary Storm
A nova variante do malware InterPlanetary Storm obtém acesso às máquinas realizando um ataque de dicionário em servidores SSH, semelhante ao FritzFrog, outro malware peer-to-peer (P2P). Ele também pode obter acesso acessando servidores ADB (Android Debug Bridge) abertos. O malware conhece a arquitetura da CPU e o sistema operacional de suas vítimas e pode ser executado em máquinas baseadas em ARM, uma arquitetura comumente usada por roteadores e outros dispositivos IoT. O malware é apelidado de InterPlanetary Storm porque usa a rede p2p IPFS (InterPlanetary File System) e a implementação libp2p subjacente. Isso permite que os nós infectados se comuniquem entre si diretamente ou por meio de outros nós (por exemplo, retransmissores).
Características especiais da nova variante
Esta variante do InterPlanetary Storm é escrita em Go, usa a implementação de Go da libp2p e é empacotada com UPX. Ele se prolifera usando força bruta SSH e abre portas ADB e entrega arquivos de malware para outros nós da rede. O malware também habilita o shell reverso e pode executar o bash shell. A nova variante tem vários recursos exclusivos projetados para ajudar o malware a permanecer persistente e protegido depois de infectar uma máquina:
- Ele reconhece honeypots. O malware procura a string "svr04" no prompt do shell padrão (PS1), que foi usado anteriormente pelo honeypot Cowrie.
- Ele atualiza automaticamente. O malware compara a versão da instância em execução com a versão mais recente disponível e se atualiza de acordo.
- Ele tenta ser persistente instalando um serviço (system/systemv) usando um pacote Go Daemon.
- Ele interrompe outros processos na máquina que representam uma ameaça ao malware, como depuradores e malwares concorrentes.
Medidas de proteção contra a nova variante da Tempestade Interplanetária
- Configuração adequada de acesso SSH em todos os dispositivos: Isso significa que chaves são usadas em vez de senhas, tornando o acesso mais seguro. Se o login com senha estiver ativado e o próprio serviço estiver acessível, o malware poderá explorar a superfície de ataque mal configurada. Este é um problema para muitos roteadores e dispositivos IoT, tornando-os alvos fáceis para este malware.
- Usando uma ferramenta de gerenciamento de postura de segurança em nuvem para monitorar o controle de acesso SSH para evitar erros de configuração que podem ter sérias consequências. Se necessário, deve ser fornecido acesso seguro aos reservatórios; em vez de expor o recurso a ameaças na Internet, uma conexão VPN habilitada para MFA deve ser implantada e as redes segmentadas para necessidades específicas, em vez de permitir o acesso a amplas redes IP.
Saiba mais no blog em Barracuda.com
[asterisco=5]