Um vírus da Internet das Coisas que está evoluindo velozmente, conhecido como “EnemyBot”, está alvejando sistemas de gerenciamento de conteúdo (CMS), servidores web e aparelhos Android. A equipe de ameaças “Keksec” é acreditada por trás da expansão do malware, de acordo com os pesquisadores.
Os laboratórios AT&T Alien publicaram recentemente que estão alvo de serviços como o VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP Scriptcase, entre outros, além de dispositivos IoT e Android. Ademais, destacaram que o malware tem a capacidade de aproveitar rapidamente falhas de segurança de um dia.
A AT&T realizou uma avaliação da base de código do EnemyBot e descobriu que diversos elementos foram emprestados de outras botnets, tais como Mirai, Qbot e Zbot. O Keksec se encarrega de distribuir o malware em máquinas Linux e dispositivos IoT, e foi formado em 2016, contando com diversos atores de botnets.

Tarefa do EnemyBot
A equipe de pesquisa do Alien Lab descobriu quatro componentes principais do vírus.
Seção inicial: Um script Python intitulado “cc7.py” é usado para baixar todas as necessidades e compilar o malware em diversas arquiteturas do sistema operacional (x86, ARM, macOS, OpenBSD, PowerPC e MIPS). Após a compilação, um arquivo de lote denominado “update.sh” é criado e usado para disseminar o malware para alvos vulneráveis.
A segunda parte é o código fonte da botnet primária, que contém todas as outras capacidades do vírus, menos a função central, e incluindo códigos de origem de diferentes botnets que podem ser ligadas para criar um ataque.
O terceiro componente chamado “hide.c” é projetado para codificar/decodificar as cadeias de malware. Ele precisa ser compilado e executado manualmente, e uma tabela de troca é usada para ofuscar as cordas. Especificamente, cada caractere é modificado com um equivalente na tabela de acordo com os pesquisadores.
O último pedaço tem um elemento de controle e comando (C&C) para aceitar ações essenciais e cargas maliciosas dos invasores.
O pesquisador da AT&T realizou mais uma análise, que revelou um recurso de varredura para encontrar endereços IP inseguros e uma função “adb_infect” que é usada para atacar dispositivos com o sistema operacional Android.
O Android Debug Bridge (ADB) é um recurso de linha de comando que possibilita a comunicação entre um aparelho e outro dispositivo.
O estudioso declarou que, se um dispositivo Android estiver ligado por USB ou tiver um emulador Android rodando na máquina, o EnemyBot tentará contaminá-lo executando o comando de shell.
Os especialistas salientaram que a Keksec Bot parece estar apenas na fase inicial de disseminação, mas com as atualizações frequentes dos criadores, tem a capacidade de se tornar uma grande ameaça para os dispositivos de Internet das Coisas e servidores da web.
Pela primeira vez em março de 2022, a Securonix descobriu a botnet baseada em Linux chamada EnemyBot. Mais tarde, a Fortinet fez uma análise mais minuciosa.
Explorações de fragilidades que o cibercriminoso está realizando presentemente.
Os cientistas da AT&T emitiram uma lista de falhas que o Enemybot está explorando no momento, algumas delas ainda não foram codificadas em um CVE.
A lista contém Log4shell (CVE-2021-44228 e CVE-2021-45046), dispositivos IP F5 BIG (CVE-2022-1388), além de outros com vulnerabilidades que ainda não receberam um CVE, como o PHP Scriptcase e Adobe ColdFusion 11.
- Vulnerabilidade Log4shell – Vulnerabilidades de Segurança CVE-2021-44228 e CVE-2021-45046
- Os aparelhos F5 BIG com endereço de protocolo IP (Internet Protocol) estão vulneráveis à vulnerabilidade CVE-2022-1388.
- Spring Cloud Gateway, lançada em 2022, foi afetada pela vulnerabilidade CVE-2022-22947.
- O TOTOLink A3000RU é um roteador sem fio que possui a vulnerabilidade CVE-2022-25075.
- Kramer VIAWare se encuentra vulnerable a CVE-2021-35064.
Isto sugere que o Keksec é maduro e que foi criado o malware para aproveitar as falhas antes que elas fossem corrigidas, acelerando a taxa de propagação e a amplitude, disse o especialista.
É essencial adotar medidas preventivas para se defender do Covid-19, tais como: lavar as mãos frequentemente, evitar tocar nos olhos, nariz e boca com as mãos não lavadas, manter a distância de pessoas doentes, usar máscara facial quando em ambientes fechados e evitar aglomerações.
O cientista do laboratório extraterrestre propõe formas de defender-se contra a exploração. Os usuários são incentivados a instalar um firewall configurado apropriadamente e a se concentrar em reduzir a visibilidade do servidor Linux e dos equipamentos IoT na web.
É recomendável verificar o tráfego de rede, examinar as portas de saída e observar se há uso suspeito de largura de banda. Além disso, o programa deve ser configurado para atualização automática e correção com a última atualização de segurança disponível.
Mude isso: Divulgue este artigo.
- A Internet das Coisas (IoT) é uma inovação que tem um grande potencial para mudar o mundo.
- Malware é um programa nocivo.