Malware Mirai: bot baseado em Windows já preocupa brasileiros

Um malware bastante avançado está começando a preocupar os brasileiros. A Kaspersky Lab, entre seus esforços para fechar botnets, analisou o primeiro vetor baseado em Windows para o malware Mirai, voltado à Internet das Coisas, e ele parece ter sido criado por um desenvolvedor experiente, que deu ao Mirai habilidades mais avançadas do que os ataques que desencadearam ataques de DDoS da sua botnet no final do ano passado.

Segundo os especialistas da empresa de segurança digital, o malware provavelmente foi desenvolvido na China. O novo foco são os mercados emergentes que investiram pesadamente em tecnologias conectadas. O vetor baseado em Windows é mais rico e mais robusto do que o código base original do Mirai, mas a maioria dos componentes, como técnicas e funcionalidades do novo vetor têm vários anos. Sua capacidade de espalhar o malware Mirai é limitada: ela só pode entregar os bots Mirai de um host infectado do Windows para um dispositivo Linux IoT vulnerável se for capaz de forçar com sucesso uma conexão remota telnet.

Apesar desta limitação, o código foi desenvolvido de forma mais experiente, provavelmente alguém novo no cenário de ataques. Artefatos com detalhes de linguagem do software, o fato de que o código foi compilado em um sistema chinês, com servidores hospedados em Taiwan e o abuso de certificados digitais de códigos roubados de empresas chinesas sugerem que o desenvolvedor provavelmente fala e entende chinês.

"O aparecimento de um crossover do Mirai, entre a plataforma Linux e Windows é uma preocupação real, como também a chegada à cena de desenvolvedores mais experientes. A publicação do código-fonte do Trojan bancário Zeus em 2011 trouxe anos de problemas para a comunidade on-line – e o lançamento do código-fonte do Mirai em 2016 fará o mesmo para a Internet. Os cibercriminosos mais experientes, trazendo habilidades e técnicas cada vez mais sofisticadas, estão começando a aproveitar o código fonte disponível livremente. Uma botnet do Windows espalhando os bots do Mirai permite sua disseminação para dispositivos e redes que até então não estavam disponíveis para os operadores da botnet Mirai. Este é apenas o começo", comenta Kurt Baumgartner, Principal Security Research, Kaspersky Lab.

De acordo com os dados de telemetria da Kaspersky Lab, quase 500 sistemas únicos foram atacados em 2017 por este bot do Windows, com as tentativas detectadas e bloqueadas pelas soluções da empresa. Com base na geolocalização dos endereços IP envolvidos na segunda fase do ataque, os países mais vulneráveis são os mercados emergentes que investiram pesadamente em tecnologia conectada, como Brasil, Índia, Vietnã, Arábia Saudita, China, Irã, Marrocos, Turquia, Malawi, Emirados Árabes Unidos, Paquistão, Tunísia, Rússia, Moldávia, Venezuela, Filipinas, Colômbia, Romênia, Peru, Egito e Bangladesh.

A Kaspersky Lab está trabalhando com CERTs, provedores de hospedagem e operadores de rede para lidar com essa crescente ameaça à infraestrutura da Internet ao derrubar um número significativo de servidores de comando e controle. A remoção rápida e bem-sucedida desses servidores minimiza o risco e a interrupção que as botnets baseados em IoT de rápido crescimento apresentam.