A descoberta do novo botnet chamado de Gucci foi feita pelos pesquisadores de segurança do SecNiche Security Labs. O foco deste novo botnet são os dispositivos da Internet das Coisas (IoT), neste momento, o grande número de ataques estão ocorrendo na Europa, mas nada impede de que o ataque chegue a outros continentes. O botnet Gucci possui a capacidade de gerar ataque DDoS.
O nome do botnet, Gucci, vem de uma marca italiana de moda e artigos de luxo. Segundo contato realizado pelo site SecurityWeek com os pesquisadores, o botnet parece ser algo novo e não há nenhuma documentação publicada.
O alvo o Gucci são as mais variadas arquiteturas, como ARM, x86, MPIS, PPC, M68K e muitas outras. A análise dos arquivos do botnet foi feita em seu próprio servidor. Com isso, foram encontrados muitos arquivos prontos para distribuição do malware para IoT. Segundo os especialistas, o servidor onde estão os binários esta localizado na Holanda.
Ainda analisando os arquivos do botnet Gucci, os pesquisadores identificaram que os crackers, removeram todos os símbolos de depuração deles, e assim, os binários são bem pequenos. Os pesquisadores também descobriram que cada bot estava usando a porta TCP 5555 e ao mesmo tempo, identificaram o host remoto que estaria executando um serviço de telnet totalmente personalizado na mesma porta.
Os pesquisadores, por sua vez, tentaram estabelecer uma conexão TCP com o host, mas foi solicitado nome de usuário e senha para autenticação. Feito isso, foi possível quebrar as credenciais para ter acesso ao painel que controla as ações de cada bot.
Acessando o painel do botnet Gucci, foi identificado diferentes tipos de ataque DDoS, inclusive varredura nula de HTTP, e até flood UDP, SYN, ACK e outras práticas foram identificadas. Inclusive de que o botnet fica de olho em conexões feitas com o servidor C&C.
Os crackers por trás do ataque perceberam que o painel de controle havia sido comprometido. E assim, removeram o serviço TCP e tentaram ocultar informações sensíveis e até limpando os diretórios e tomando outras medidas para impedir uma análise mais profunda.
Por fim, os pesquisadores identificaram que ao que tudo indica, o novo botnet Gucci ainda esta no começo, parece algo desenvolvido prematuramente e em estágios iniciais. Mesmo assim, eles alertam que o botnet pode realizar ataques direcionados e amplos.