Duas botnets, chamadas Ficora e Capsaicin, estão explorando vulnerabilidades em roteadores D-Link que não recebem mais atualizações ou utilizam versões antigas de firmware. Esses ataques afetam tanto usuários domésticos quanto organizações que dependem desses dispositivos.
Botnets Alvo de Roteadores D-Link Desatualizados
Os principais alvos incluem modelos populares, como DIR-645, DIR-806, GO-RT-AC750 e DIR-845L. Os invasores utilizam exploits conhecidos para explorar falhas graves, incluindo CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112.
Como funciona o ataque
Quando um roteador é comprometido, os atacantes utilizam vulnerabilidades na interface de gerenciamento do dispositivo, conhecida como HNAP, para executar comandos maliciosos. Isso permite que as botnets:
- Roubem dados confidenciais;
- Executem scripts de shell para propósitos maliciosos;
- Lançem ataques de negação de serviço distribuída (DDoS).
Botnet Ficora
A botnet Ficora, uma variante do famoso malware Mirai, tem como alvo específico dispositivos D-Link. Com base em dados da Fortinet, sua atividade teve dois picos importantes em outubro e novembro.
Após comprometer o dispositivo, o malware utiliza um script de shell chamado “multi” para baixar sua carga maliciosa através de ferramentas como wget, curl, ftpget e tftp. Ele também possui uma função de força bruta com credenciais pré-configuradas para infectar outros dispositivos baseados em Linux, suportando diversas arquiteturas de hardware.
Seus ataques DDoS incluem:
Notícias Relacionadas
Botnet Mirai
Nova botnet baseada em Mirai explora falhas em NVRs e roteadores TP-Link
A nova botnet baseada em Mirai está aproveitando vulnerabilidades de execução remota de código em NVRs DigiEver e roteadores TP-Link, comprometendo dispositivos e realizando ataques DDoS.
Segurança cibernética
Pacotes maliciosos no PyPI roubam dados e sequestram contas de usuários
Pesquisadores identificaram dois pacotes maliciosos no repositório PyPI, que exfiltram informações confidenciais e sequestram contas de redes sociais. Saiba mais sobre os riscos.
- Inundação UDP;
- Inundação TCP;
- Amplificação DNS.
Botnet Capsaicin
A Capsaicin, uma variante da botnet Kaiten, é associada ao grupo Keksec, conhecido por outros malwares como EnemyBot. Este botnet foi detectado em ataques concentrados entre os dias 21 e 22 de outubro, principalmente em países do Leste Asiático.
Ele utiliza um script de download chamado “bins.sh” para carregar binários com o prefixo “yakuza”, projetados para várias arquiteturas, como ARM, MIPS, SPARC e x86. Além de suas capacidades DDoS, a Capsaicin também coleta informações do dispositivo e as envia para servidores de comando e controle (C2).
Outro diferencial da Capsaicin é a capacidade de desabilitar malwares concorrentes que já estejam ativos no dispositivo comprometido.
Como proteger seus roteadores
Para evitar infecções por botnets em dispositivos IoT e roteadores, é fundamental adotar medidas de segurança, como:
- Atualize o firmware: Certifique-se de que o roteador esteja executando a versão mais recente do software.
- Substitua dispositivos obsoletos: Se o roteador atingiu o fim de sua vida útil e não recebe mais atualizações, considere adquirir um modelo mais recente.
- Use senhas fortes: Altere as credenciais de administrador padrão para senhas únicas e difíceis de adivinhar.
- Desabilite o acesso remoto: Caso não utilize interfaces de gerenciamento remoto, desative essa funcionalidade para reduzir os riscos.
Ao adotar essas práticas, é possível minimizar as chances de que seus dispositivos sejam comprometidos por botnets como Ficora e Capsaicin. Além disso, um ambiente de rede mais seguro protege seus dados e dispositivos conectados.
