Bot do Windows, malware avançado Mirai ameaça brasileiros

O Brasil é considerado um dos países vulneráveis ao ataque habilidoso de malware Mirai. De acordo com estudos de especialistas da Kaspersky Lab, o bot do Windows parece ter sido criado por um desenvolvedor com habilidades mais avançadas do que os ataques que desencadearam ataques de DDoS da botnet Mirai no final de 2016, um fato que tem implicações preocupantes para o futuro uso e também para os alvos de ataques baseados no Mirai.

A empresa afirma que o autor do malware provavelmente é de origem chinesa. Os dados mostram cerca de 500 ataques a sistemas únicos em 2017, e os mercados emergentes que investiram pesadamente em tecnologias conectadas poderiam estar particularmente em risco.  Com base na geolocalização dos endereços IP envolvidos na segunda fase do ataque, os países mais vulneráveis são os mercados emergentes que investiram pesadamente em tecnologia conectada, como Brasil, Índia, Vietnã, Arábia Saudita, China, Irã, Marrocos e Turquia.

O vetor baseado em Windows é mais rico e mais robusto do que o código base original do Mirai, mas a maioria dos componentes, como técnicas e funcionalidades do novo vetor, tem vários anos. Sua capacidade de espalhar o malware Mirai é limitada: ela só pode entregar os bots Mirai de um host infectado do Windows para um dispositivo Linux IoT vulnerável se for capaz de forçar com sucesso uma conexão remota telnet.

Apesar desta limitação, o código foi desenvolvido de forma mais experiente, provavelmente alguém novo no cenário de ataques. Artefatos com detalhes de linguagem do software, o fato de que o código foi compilado em um sistema chinês, com servidores hospedados em Taiwan e o abuso de certificados digitais de códigos roubados de empresas chinesas sugerem que o desenvolvedor provavelmente fala e entende chinês.

Kurt Baumgartner, pesquisador de segurança da Kaspersky Lab, explica que o aparecimento de um crossover do Mirai, entre a plataforma Linux e Windows é uma preocupação real, como também a chegada à cena de desenvolvedores mais experientes. “A publicação do código-fonte do Trojan bancário Zeus em 2011 trouxe anos de problemas para a comunidade on-line – e o lançamento do código-fonte do Mirai em 2016 fará o mesmo para a Internet. Os cibercriminosos mais experientes, trazendo habilidades e técnicas cada vez mais sofisticadas, estão começando a aproveitar o código fonte disponível livremente. Uma botnet do Windows espalhando os bots do Mirai permite sua disseminação para dispositivos e redes que até então não estavam disponíveis para os operadores da botnet Mirai. Este é apenas o começo”, comenta o especialista.