Fechar
Seções
Avast Blog Pesquisa de ameaças Nova e mais sofisticada rede zumbi: Torii ataca ampla gama de dispositivos inteligentes | Avast

Nova e mais sofisticada rede zumbi: Torii ataca ampla gama de dispositivos inteligentes | Avast

Lisandro Carmona de Souza 28 set 2018

Um grupo de pesquisadores da Avast – Jakub Kroustek, Vladislau Iliushin, Anna Shirokova, Jan Neduchal e Martin Hron – analisou pela primeira vez um novo ataque através de dispositivos IoT sequestrados.

Em 2018, cresceram as variantes das redes zumbis Mirai e Qbot, pois o código-fonte da Mirai vazou na internet. Mas agora (20/09/2018), nossos pesquisadores observaram um novo malware, que foi chamado de Torii, e que usa técnicas muito mais avançadas.

Ao contrário das outras redes zumbis de dispositivos IoT, a Torii procura se esconder e manter-se viva depois de infectar os dispositivos. Ela (ainda) não faz os ataques DDoS comuns nas redes zumbis, nem ataca todos os dispositivos conectados à internet, nem faz mineração de moedas digitais. Em vez disso, ela rouba informações (confidenciais) dos dispositivos infectados e a sua arquitetura modular é capaz de buscar e executar outros comandos avançados, tudo isso escondido por trás de várias camadas criptografadas.

A Torii pode infectar uma ampla gama de dispositivos e arquiteturas, incluindo MIPS, ARM, x86, x64, Motorola 68k, PowerPC, SuperH e outros. Definitivamente, é o ataque que atinge o maior conjunto de equipamentos diferentes que já vimos.

Vess-on-security-tweetEssa operação está em andamento desde dezembro de 2017, talvez antes e apareceu no tuíte de @VessOnSecurity.

De acordo com este pesquisador de segurança, os ataques chegavam através da rede Tor e, por isso, decidimos nomear esta linhagem de rede zumbi Torii. Um total de 206 IPs únicos se conectaram ao servidor dos cibercriminosos nos dias 7, 8, 19 e 20 de setembro.

O estudo técnico completo e as características do ataque estão sendo atualizados na postagem original, mas em termos (um pouco mais) acessíveis pode-se dizer que:

  • O vetor de infecção começa com um ataque sofisticado às fracas credenciais (usuário e senha) dos dispositivos IoT.
  • O código detecta a arquitetura do dispositivo e usa vários comandos para ter sucesso em baixar e executar os comandos criptografados desta fase: um conta-gotas do que acontecerá mais adiante.
  • Para se manter viva e continuamente atuante, a próxima fase está “blindada” por seis métodos, sempre debaixo de criptografia.
  • Um código robô executa os comandos do servidor CnC e conta com várias técnicas para se esconder dos possíveis programas de segurança de rede, por exemplo, hiberna o robô durante 60 segundos para evitar a sua detecção imediata e usa nome de processos aleatórios para evitar a detecção por listas negras.
  • Cada versão do malware tenta entrar em contato com o servidor CnC através da porta TCP 443, usando outras camadas de criptografia AES-128.
  • O malware extrai várias informações confidenciais para criar uma identificação exclusiva da vítima e a criar um catálogo de dispositivos infectados.
  • Os dispositivos infectados passam a fazer parte da rede zumbi (no período de tempo analisado, foram recrutados 592 clientes diferentes).

Conclusões (até agora)

Não podemos especular sobre o que não temos dados e evidências, mas o servidor CnC que foi descoberto pode ser apenas um dentre os vários servidores que podem infectar novos dispositivos, mas apenas uma análise mais aprofundada revelará o verdadeiro escopo dessa rede zumbi e até onde eles podem – ou poderiam – chegar. Lembramos que em 2016, a rede zumbi Mirai derrubou muitos sites importantes e quase paralisou a internet.

Dado o nível de sofisticação do malware, parece provável que ele seja projetado para mapear e controlar um grande número de vários tipos de dispositivos. A Torii é um exemplo da evolução dos malwares IoT e que a sua sofisticação está acima de qualquer outra que já encontramos anteriormente.

Uma vez que um dispositivo é infectado, ele não apenas envia informações sobre a máquina ao servidor CnC, mas, ao se comunicar com esse servidor, permite que os autores da Torii executem qualquer código ou baixem qualquer carga ou malware no dispositivo infectado. Isso sugere que a Torii pode – ou poderia – se tornar uma plataforma modular para uso futuro, multiplicando os tipos de ataques a serem executados.

Artigos relacionados

Os jogos ardilosos do adware baseados na web e como evitá-los

Explore o mundo enganoso do adware baseado na web, desde prêmios inesperados até armadilhas atraentes de conteúdo adulto.

24 jan 2024 Leitura de min

Grupo cibercriminoso Candiru usa spyware e falha dia-zero dos navegadores

O lendário peixe-vampiro da Amazônia, o Candiru, inspirou o nome dado ao grupo criminoso que monitora completamente as suas vítimas.

22 jul 2022 Leitura de min

Como funciona a autenticação de dois fatores (2FA)?

A autenticação de dois fatores (2FA) ajuda a proteger suas contas. Descubra por que uma senha já não garante mais a sua segurança.

4 mar 2022 Leitura de 5 min

Mais popular

Como evitar golpes com ingressos da Taylor Swift

16 fev 2023

O uso dos dados de pessoas pelo ChatGPT é legal?

1 fev 2023

Protegendo a Liberdade Digital para Todos | Avast

23 set 2021

Como orientar seus filhos sobre o mundo digital

8 jan 2021

Mantendo sua parte da IoT segura

2 dez 2020

1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Política de Privacidade

--> -->