Pesquisadores de segurança descobriram uma nova família de malware botnet chamada Gorilla. Esse malware, também conhecido como GorillaBot, é uma variante do código-fonte do botnet Mirai vazado.
Novo malware Gorilla descoberto
A empresa de segurança cibernética NSFOCUS, que identificou a atividade no mês passado, disse que a botnet “emitiu mais de 300 mil comandos de ataque, com uma densidade de ataque chocante” entre 4 e 27 de setembro de 2024. Desses, mais de 200 mil comandos foram projetados para montar ataques distribuídos de negação de serviço (DDoS) foram emitidos pela botnet todos os dias, em média.
Informações apontam que o botnet teve como alvo mais de 100 países, atacando universidades, sites governamentais, telecomunicações, bancos, jogos e setores de apostas. China, EUA, Canadá e Alemanha surgiram como os países mais atacados. A empresa sediada em Pequim disse que a Gorilla usa principalmente UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood para conduzir ataques DDoS, acrescentando que a natureza sem conexão do protocolo UDP permite falsificação arbitrária de IP de origem para gerar uma grande quantidade de tráfego.
O botnet
Além de oferecer suporte a diversas arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, a botnet vem com recursos para se conectar a um dos cinco servidores de comando e controle (C2) predefinidos para aguardar comandos DDoS. Em uma reviravolta interessante, o malware também incorpora funções para explorar uma falha de segurança no Apache Hadoop YARN RPC para obter execução remota de código. Vale a pena notar que a deficiência foi abusada na natureza já em 2021, de acordo com a Alibaba Cloud e a Trend Micro .
Notícias Relacionadas
Novo malware Perfctl tem como alvo servidores Linux
Os servidores Linux são alvo de uma campanha contínua que distribui um malware furtivo chamado perfctl. O objetivo da campanha é executar um software de mineração de criptomoedas e proxyjacking. Malware Perfctl mirando em servidores Linux “O Perfctl é particularmente evasivo e persistente, empregando diversas técnicas sofisticadas”, disseram os pesquisadores de segurança da Aqua, Assaf […]
Deepfake
Cibercriminosos lançam sites geradores de nudez deepfake para espalhar malware
Cibercriminosos conhecidos como FIN7 lançaram uma rede de sites falsos geradores de deepnude (nudez deepfake) com tecnologia de IA para infectar visitantes com malware para roubo de informações. FIN7 espalhando malware via nudez deepfake Acredita-se que o FIN7 seja um grupo de hackers russo que vem realizando fraudes financeiras e crimes cibernéticos desde 2013, com […]
A persistência no host é obtida criando um arquivo de serviço chamado custom.service no diretório “/etc/systemd/system/” e configurando-o para ser executado automaticamente sempre que o sistema for inicializado.
O serviço, por sua vez, é responsável por baixar e executar um script de shell (“lol.sh”) de um servidor remoto (“pen.gorillafirewall[.]su”). Comandos semelhantes também são adicionados aos arquivos “/etc/inittab”, “/etc/profile” e “/boot/bootcmd” para baixar e executar o script de shell na inicialização do sistema ou no login do usuário.
De acordo com a NSFOCUS, “ele introduziu vários métodos de ataque DDoS e usou algoritmos de criptografia comumente empregados pelo grupo Keksec para ocultar informações importantes, ao mesmo tempo em que empregava diversas técnicas para manter controle de longo prazo sobre dispositivos de IoT e hosts de nuvem, demonstrando um alto nível de conscientização sobre contradetecção como uma família de botnet emergente”.
Via: The Hacker News
