Malware Gorilla

Pesquisadores descobriram uma nova família de malware chamada Gorilla

Imagem de gorila

Pesquisadores de segurança descobriram uma nova família de malware botnet chamada Gorilla. Esse malware, também conhecido como GorillaBot, é uma variante do código-fonte do botnet Mirai vazado.

Novo malware Gorilla descoberto

A empresa de segurança cibernética NSFOCUS, que identificou a atividade no mês passado, disse que a botnet “emitiu mais de 300 mil comandos de ataque, com uma densidade de ataque chocante” entre 4 e 27 de setembro de 2024. Desses, mais de 200 mil comandos foram projetados para montar ataques distribuídos de negação de serviço (DDoS) foram emitidos pela botnet todos os dias, em média.

Informações apontam que o botnet teve como alvo mais de 100 países, atacando universidades, sites governamentais, telecomunicações, bancos, jogos e setores de apostas. China, EUA, Canadá e Alemanha surgiram como os países mais atacados. A empresa sediada em Pequim disse que a Gorilla usa principalmente UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood para conduzir ataques DDoS, acrescentando que a natureza sem conexão do protocolo UDP permite falsificação arbitrária de IP de origem para gerar uma grande quantidade de tráfego.

Imagem botnet
Imagem: The Hacker News

O botnet

Além de oferecer suporte a diversas arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, a botnet vem com recursos para se conectar a um dos cinco servidores de comando e controle (C2) predefinidos para aguardar comandos DDoS. Em uma reviravolta interessante, o malware também incorpora funções para explorar uma falha de segurança no Apache Hadoop YARN RPC para obter execução remota de código. Vale a pena notar que a deficiência foi abusada na natureza já em 2021, de acordo com a Alibaba Cloud e a Trend Micro .

A persistência no host é obtida criando um arquivo de serviço chamado custom.service no diretório “/etc/systemd/system/” e configurando-o para ser executado automaticamente sempre que o sistema for inicializado.

O serviço, por sua vez, é responsável por baixar e executar um script de shell (“lol.sh”) de um servidor remoto (“pen.gorillafirewall[.]su”). Comandos semelhantes também são adicionados aos arquivos “/etc/inittab”, “/etc/profile” e “/boot/bootcmd” para baixar e executar o script de shell na inicialização do sistema ou no login do usuário.

De acordo com a NSFOCUS, “ele introduziu vários métodos de ataque DDoS e usou algoritmos de criptografia comumente empregados pelo grupo Keksec para ocultar informações importantes, ao mesmo tempo em que empregava diversas técnicas para manter controle de longo prazo sobre dispositivos de IoT e hosts de nuvem, demonstrando um alto nível de conscientização sobre contradetecção como uma família de botnet emergente”.

Via: The Hacker News